供应商惹祸！知名律所客户敏感数据被Azure云暴露超半年

暴露数据涉及私人和高权限财务及法律文件、合同、保密协议、金融交易以及知名收购相关文件。

4月11日消息，美国知名国际律师事务所普洛思（Proskauer Rose）因安全漏洞导致客户敏感数据暴露，持续时间超过六个月。

一位知情人士表示，普洛思律所将并购业务数据保存在一个不安全的微软Azure云服务器上。

外媒TechCrunch获得了部分暴露数据集，其中包含约18.4万个文件。只要知晓存储位置，任何人都能通过网络浏览器访问这些文件，具体涉及私人和高权限财务及法律文件、合同、保密协议、金融交易以及知名收购相关文件。

这台暴露云服务器由GrayHatWarfare发现。GrayHatWarfare是一个可搜索的数据库，能够索引公开可见的云存储及文件。据了解，这些文件已在网上公开至少六个月之久。

图：安全内参截自GrayHatWarfare官网

普洛思律所在两周前解决了暴露问题，但尚未通知客户。在这家律所网站的客户清单中，列出了美国职业棒球大联盟、摩根士丹利等众多大牌组织机构。

在我们联系该公司提出置评请求时，普洛思律所拒绝回应与暴露数据的规模及性质相关的问题，但也没有对这些说法提出异议。该公司也不清楚数据是如何暴露的，但因服务器配置错误而人为引发的类似问题并不少见。

在发给TechCrunch的电子邮件中，普洛思律所似乎错误将数据泄露称为“网络攻击”，毕竟目前既没有恶意迹象，也没有提到是否掌握关于数据渗漏的证据。

根据公司发言人Joanne Southern提供的一份声明，普洛思律所表示最近刚刚发现“聘请的一家外部供应商在第三方云存储平台上创建了信息门户，但没有对其进行适当保护。”

普洛思律所拒绝透露这家供应商的名称。

Southern表示，“我们的IT安全团队立即采取措施，重新配置了站点并保护相关数据。调查正在进行当中，我们也一直与内部及第三方网络安全专家开展紧急合作，以确认目前对事态的把握。我们非常重视数据保护工作，正采取积极措施以监控并防止任何对这部分数据的未经授权访问或使用。”

Southern指出，普洛思律所将“在获得充分的信息之后，以负责任的态度立即与受到影响的各方进行沟通。”