【绿盟科技】全球云上数据泄露风险分析简报(第八期)

绿盟科技创新研究院近日发布了《全球云上数据泄露风险分析简报（第八期）》，这份报告聚焦于2025年9月至10月期间全球云上数据泄露的态势，通过深入剖析8起典型案例，揭示了云上数据安全面临的核心挑战与最新动向。报告中指出，AI技术引发的安全风险持续深化，攻击手法不断迭代，同时云服务配置错误、凭证泄露和供应链安全等基础性问题依然是数据泄露的主要根源。这里面有很多有价值的内容，为业界提供了前瞻性的风险洞察与防御指引，对于理解当前云上数据安全的复杂性和紧迫性具有重要意义。

在数字化时代，数据安全已成为全球关注的焦点。近期，绿盟科技发布的《全球云上数据泄露风险分析简报（第八期）》为我们揭示了云上数据泄露的严峻态势。报告聚焦2025年9月至10月期间的全球云上数据泄露事件，深入剖析了8起典型案例，让我们看到了云上数据安全面临的挑战与最新动向。

报告指出，AI技术引发的安全风险持续深化并呈现出新的演变路径。攻击面从AI大模型本身扩展至整个基础设施，如ES实例和Kafka数据泄露事件，均非直接攻击模型，而是通过利用AI服务依赖的基础设施配置错误，导致用户数据和隐私对话泄露。这一趋势表明，AI系统的安全防护需覆盖完整的生命周期与技术栈。

系统入侵仍是导致高价值数据被盗的主要原因。报告中提到的红队APT组织利用泄露的IAM密钥劫持云账户，以及GitHub账户泄露引发的供应链攻击，进一步说明了身份凭证管理的重要性。尤其是供应链攻击，影响范围广、溯源难度大，给数据安全防护带来新的挑战。

报告中的数据显示，因配置错误直接导致的事件高达4起。例如，AI应用程序Vyro使用的ES实例因未授权配置导致116GB的实时用户日志外泄。这些日志包含用户提示词、身份验证令牌和用户代理等数据，泄露的身份认证令牌可被攻击者劫持，进而访问完整的聊天记录、生成图像或非法购买AI服务。

在另一起事件中，公开暴露的Amazon S3存储桶泄露了大量德克萨斯州卡车司机的敏感信息，包括1.8万张社会保障卡、2.3万张驾驶执照及其他敏感文件。这些数据的泄露，不仅侵犯了个人隐私，还可能导致身份盗窃、贷款欺诈等犯罪行为。

报告还提到了一起AI Campanion使用的Kafka Broker实例因错误配置导致超过4300万条隐私对话泄露的事件。这些对话涉及40万用户的敏感数据，包括聊天记录、图片与视频，以及IP地址、设备唯一标识符和购买日志等个人信息。这些数据的泄露，不仅可能造成隐私与名誉损害，还可能被不法分子用于敲诈或社会工程攻击。

这些事件的发生，不仅给个人用户带来风险，也对企业的数据安全防护提出了更高要求。企业需要加强云服务配置错误、凭证泄露和供应链安全的管理，以减少数据泄露的风险。

文章的灵感来自于绿盟科技发布的《全球云上数据泄露风险分析简报（第八期）》。除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。