维度网讯，近期因云与开发协作工具凭证泄露导致的事故频发，韩国个人信息保护委员会（Personal Information Protection Commission，PIPC）呼吁企业加强凭证管理。

攻击者通过鱼叉式钓鱼邮件获取GitHub账户访问权限后，进一步获取AWS访问密钥，从内部数据库中查阅约240万条个人信息。另一起案例中，攻击者获取了以明文存储在GitHub上的数据库连接信息，导致约42万条个人信息泄露。此外，还有利用GitHub上暴露的AWS访问密钥泄露1000万条个人信息的事故。

当凭证暴露在代码仓库或协作工具中，攻击者可借此对个人信息处理系统、数据库、云服务进行未授权访问，引发大规模个人信息泄露。谷歌云（Google Cloud）调查显示，47.1%的入侵事故由凭证泄露导致；SentinelOne指出，68%的企业将云账户劫持视为最大的安全威胁。

开发者若为管理便利将凭证信息存储在源代码中，攻击者可能利用该信息访问个人信息处理系统。个人信息保护委员会建议企业采取以下保护措施：设定并管理源代码，防止访问密钥、密码、API密钥等凭证被存储或暴露；使用临时凭证替代长期凭证，使其在一定时间后自动过期；限制凭证可用的IP地址、网络区间，防止外部未授权使用；对数据库、云管理控制台等主要系统应用多因素认证（MFA），并按最小权限原则授予访问权限；定期检查凭证使用记录，立即收回不必要或长期未使用的访问权限。

韩国个人信息保护委员会事务处长梁清三（Yang Cheong-sam）表示，在云环境中，仅凭访问密钥、数据库账户、API密钥等一个凭证即可访问重要系统，因此安全的账户和权限管理至关重要。他呼吁企业应管理好凭证，避免将其存储在源代码或开发协作工具中，并通过使用临时凭证和加强访问控制来预防个人信息泄露事故。他同时强调，若不小心将凭证上传至代码仓库，即使从工作空间中删除，配置管理历史中仍可能残留该信息，应立即废弃该凭证，并替换签发新的凭证。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com