Wegmans因泄露客户数据被罚款40万美元，这应该让所有零售商保持高度警惕 传媒

Wegmans支付罚款并加强云安全防护措施

关键要点

Wegmans最近因一起因云存储配置错误导致的数据泄露事件向纽约州支付了40万美元罚款，并承诺升级其网络安全操作。这一消息对安全行业内部人士来说并不意外，因为零售连锁店的经营利润微薄，IT和安全预算极为紧张。

根据报告，一名未具名的第三方安全研究员在2021年4月发现此数据泄露事件，称全国超过300万名Wegmans顾客的个人信息被曝光。顾客的姓名、电子邮件地址、邮寄地址、购物俱乐部号码，以及Wegmanscom账户的用户名和密码均存储在一个不安全的云存储容器中，从2018年1月起便已经公开可见。

“自1990年代以来，我一直参与零售商的技术基础设施项目，特别是超市连锁因顾客的价格敏感性，其利润非常薄，”Vetra公司的首席技术官Aaron Turner说。“因此，他们没有其他大型组织可能拥有的IT或安全预算。”

云配置错误的再现

GuidePoint Security的云安全业务主管Jonathan Villa指出，类似的因云资源配置错误导致的数据泄露事件并不如以前那么普遍，或许这也是为何罚款金额如此之高的原因。Villa表示，云服务提供商已经改善了其服务，揭示出一些较为风险的配置选项。

“这并不意味着这些服务更安全，或以前的安全性更差，只是更多的人意识到了，”Villa补充道。“可以说，如果有关云资源配置错误的信息对云客户可用，这可能会被视为一种疏忽。当云技术刚进入行业时，根本原因几乎总是缺乏教育。如今，针对云客户的教育工作已经取得了重大进展。”

Wegmans在声明中表示，公司非常重视客户信息的安全，并在发现问题后立即采取了补救措施。该公司称，它改善了流程，以更好地保护客户信息。

“虽然我们不同意检察长所做的一些结论，但我们全力配合调查，并很高兴这项调查已得出结论，”Wegmans在声明中表示。“这只是与两个云存储容器的配置问题有关，且与Wegmans的网络其他部分无关。这种类型的配置问题不幸是很常见的，Wegmans也已加倍努力，避免今后发生此类问题。也没有迹象表明顾客数据被不当地访问或其他滥用，顾客信用卡或其他敏感数据都没有涉及。”

云服务提供商的未来展望

Vetra的Turner补充道，微软取消Exchange Online内基础认证协议的做法是所有云服务提供商应效仿的良好示例。他表示，云服务提供商需要默认将其云技术设定为安全。

“不幸的是，大多数云PaaS和IaaS平台尚未做到这一点，”Turner说道。“希望像Wegmans案例这样的事件能促使云技术提供商改善其默认设置，以帮助客户更好地保护自己免受安全风险并避免将来的监管问题。”

JupiterOne的首席营销官Tyler Shields证实，近三到四年来，工业界几乎每月都见证到因此类配置错误导致的大规模数据泄露。Shields表示，将服务迁移到云的一个问题是，大多数企业未能有效跟踪云原生资源和临时组件。

“这正是云技术的强大之处，但也让基于云原生技术的公司面临风险，”Shields表示。“必须有某种类型的网络资产清单系统，以持续跟踪云和SaaS系统的状态和结构。否则，你会不知道自己拥有的资产，也就无法确保其安全。”