封面 云上数据泄露风险分析报告 全球 （第六期） 关于星云实验室 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究。 基于IaaS环境，结合SDN/NFV等新技术，提出软件定义安全的云防护体系。已承担并完成多项国家级、省市级及行业重点课题，成功孵化绿盟科技云安全及云原生安全解决方案。创新研究方向涵盖云上风险发现、云原生攻防靶场、攻击套件、API安全及入侵模拟等。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可， 不得以任何方式复制或引用本文的任何片断。 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4 月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、 新加坡设立海外子公司， 深入开展全球业务，打造全球网络安全行业的中国品牌。 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） 目录 前言 01全球3-6月云上数据泄露典型事件解读 1 事件一. 尼日利亚社会投资协调平台 泄露数千万公民的个人身份信息 2 事件二. 澳大利亚专业工具零售公司 Sydney Tools 泄露数千万在线订单信息 3 事件三. 勒索软件团伙CL0P利用了 Cleo零日漏洞引发赫兹租车遭重大数据泄露 5 事件四. 黑客在一年多的时间里侵入了联邦银行 监管机构最高官员的电子邮件账户和 15 万名员工的电子邮件 8 事件五. 车辆跟踪服务提供商NexOpt泄露约 1TB来自世界各地的位置信息和行驶数据 11 事件六. 国内某大学重点实验室向量 数据库存在数据泄露风险 13 事件七. GitHub MCP漏洞影响深远，或引发 供应链安全危机 15 2目录 事件八. 微软OneDrive被曝向AI聊天机 器人开放用户文件完全读取权限17 事件九. 微软Defender XDR误报致1700+敏感文件 误传ANY.RUN，隐私设置缺陷致数据公开暴露 19 事件十. 黑客利用微软 SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据 21 02安全建议 24 2.1针对杂项错误类的安全建议 25 2.2针对系统入侵的安全建议 28 2.3 针对遗失和被盗窃的资产的安全建议 28 03总结 30 04参考文献 33 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） 前言 本报告为绿盟科技创新研究院发布的第六期云上数据泄露简报，聚焦2025年3-6月期间的全球云上数据泄露事件。 鉴于多数事件成因相似， 我们精选了10起典型案例进行深入分析，以全面呈现云上数据泄露的整体态势。 值得注意的是，其中4起事件与大模型技术密切相关，凸显了随着Deepseek、Ollama等开源模型的广泛应用，云上数据安全正面临显著的“AI驱动型风险”。从事件成因来看，4起事件源于配置错误，4起由系统入侵引发，由此可见，云租户配置和供应链安全以及社工类攻击仍是导致数据泄露的主要因素。 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） - 1 - 一. 全球3-6月云上数据泄露典型事件解读 01 全球3-6月云上数据泄露典型事件解读 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） - 2 - 事件一：尼日利亚社会投资协调平台泄露数千万公民的个人身份信息 事件时间：2025年3月 泄露规模：约2300万份社会福利申请表，包括护照、住址、出生证明、教育证明等信息 事件回顾： 2025年3月，Cybernews研究团队发现一个暴露的AmazonS3对象存储服务，并定位到该服务归属于NASIMS尼日利亚社会投资协调平台。该对象存储服务中存储了超过2300万份文件，包括护照、出生证明、教育证明以及NPower提交的申请等。NPower是一项旨在解决青年失业问题的社会福利计划。NPower申请人使用NASIMS平台申请加入该计划。 Cybernews研究团队多次联系NASIMS管理人员和尼日利亚相关部门进行治理，该数据泄露事件已于3月31日得到解决。 事件分析： AmazonS3是亚马逊云提供的一项对象存储服务， 它提供了可配置的安全性、 数据保护、合规性和访问控制功能保护用户的数据安全。对于S3对象存储服务的访问，Amazon并未强制要求配置访问控制策略，用户仍可以配置对象存储服务的公开访问。 导致此次数据泄露事件的主要原因是服务配置错误。尼日利亚社会投资协调平台未对其使用的AmazonS3对象存储服务配置安全的访问控制策略，导致任何人均可公开访问该对象存储服务，可能包含恶意攻击者。 VERIZON事件分类：Miscellaneous Errors（杂项错误） 所用MITRE ATT&CK技术： 技术 子技术 利用方式 T1593 搜索开放网站/域 .002 搜索引擎 攻击者可能利用网络空间搜索引擎进行情报收集。 T1133 外部远程服务 N/A 攻击者识别暴露服务中的Amazon S3对象存储服务。 T1587 开发功能 .004 利用工具 攻击者开发对暴露服务进行安全测试的工具。 T1530 云存储中的数据 N/A 攻击者访问Amazon S3对象存储服务的数据。 T1567 通过Web服务外泄 N/A 攻击者可能利用Web服务进行数据窃取。 参考链接： https://cybernews.com/security/government-data-leak-nasims-citizen-records/ © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） - 3 - 事件二： 澳大利亚专业工具零售公司Sydney Tools 泄露数千万在线订单信息 事件时间：2025年3月 泄露规模：超5000 条公司员工信息、超3400 万条订单信息 事件回顾： 2025年3月，Cybernews研究团队发现一个暴露的ClickHouse服务，并定位到该服务归属于澳大利亚专业工具、装备零售公司SydneyTools。暴露的ClickHouse服务包含超过5000条公司员工个人身份信息，包含姓名、工作部门、薪资以及KPI情况。除此之外，该服务中还包含了超3400万条在线订单信息，包含消费者姓名、电子邮件、家庭住址、联系方式及购买商品情况等。 图1. 疑似clickhouse泄露信息截图 事件发生后，Cybernews研究团队层多次尝试联系该公司，但暴露的实例并未关闭，这意味着数据泄露至今仍在继续。 事件分析： ClickHouse是一个开源的列式数据库管理系统(DBMS),专为在线分析处理(OLAP)设计。它能够高效处理大规模数据，支持实时查询和分析，适用于日志分析、用户行为分析等场景。ClickHouse存在未授权访问漏洞，对于一个未添加任何访问控制机制的ClickHouse服务，任意用户可以通过该服务暴露的API接口执行类SQL命令。