近年，隨著云計算的發展，在推動數字化轉型帶動相關市場擴大規模的同時，我們不能忽略關于云計算的安全問題。云安全是當今網絡安全的一個重要課題。隨著云計算的滲透，有80%的組織都遇到過云環境的安全事件，以下是2022年最有代表性的十大云安全事件。

1、FlexBooker數據泄露

美國的數字化調度平臺遭遇數據泄露，黑客闖入了FlexBooker在AWS(亞馬遜網絡服務)的服務器后，高達370萬用戶的敏感信息被泄露。泄露數據包括姓名、電子郵件地址和電話號碼，還包括密碼散列和部分信用卡信息。這些數據隨后被發布在各個黑客論壇上出售。這起泄露事件曝光于2022年1月，FlexBooker聲稱已解決了這個問題。但是與此同時，云安全研究人員發現了涉及FlexBooker云服務器的另一起泄露事件，此次事件多達1900萬用戶的個人數據被泄露。調查顯示，該公司使用AWS S3存儲桶來存儲數據，而未采取任何安全措施。

2、BlueBleed數據泄露

微軟錯誤的配置了Azure Blob Storage存儲桶，這導致屬于100多個國家的65000多家公司的2.4TB客戶數據遭到泄露。在這起名為“BlueBleed”的數據泄露事件中，泄露了包括執行證明及工作聲明文檔、用戶信息、產品訂單/報價、項目詳細信息等在內的數據。

3、中國最大的數據泄露

黑客從上海警方的數據庫盜取了超過10億中國公民的數據，并以此要挾上海市公安局并索要約20萬美元，這是中國最大的數據泄露事件之一。被盜信息包括姓名、電話號碼、政府身份證號碼等。

攻擊者是從中國電子商務巨頭阿里巴巴的子公司阿里云托管的一個數據庫中竊取的數據。調查顯示，數據庫本身是安全的，但管理儀表板卻可以從開放的互聯網隨意訪問。

4、微軟遭到Lapsus$攻擊

臭名昭著的Lapsus$黑客組織成功入侵了微軟的Azure DevOps服務器并竊取了37GB的重要數據，這些數據主要是微軟各個內部項目的源代碼，包括必應、必應地圖和Cortana。該黑客組織隨后在Telegram頻道上泄露了被盜的數據。微軟透露本次攻擊的細節為攻擊者闖入了他們一名員工的帳戶，并獲得了對源代碼存儲庫的有限訪問權。

5、Medibank數據泄露

Medibank是澳大利亞最大的健康保險公司之一，也遭遇大規模數據泄露，此次事件對900多萬名客戶造成了影響。該公司的云數據網絡遭到黑客入侵，被竊取了大量的客戶信息。該公司拒絕支付贖金后，部分的被盜數據被發布在了暗網。泄露的信息包括姓名、地址、出生日期、電話號碼等重要客戶信息。

6、飛馬航空數據泄露

土耳其低成本航空公司飛馬航空公司(Pegasus Airlines)由于配置錯誤的AWS S3存儲桶泄露了約6.5 TB的數據，包括敏感的航班數據、源代碼和機組人員的個人信息。

2022年3月飛馬航空公司得知此次事件，近一個月的時間該公司才解決問題。

7、Mangatoon數據泄露

黑客從安全不到位的Elasticsearch數據庫中竊取了屬于在線漫畫書提供商Mangatoon的2300萬用戶的數據。這次攻擊事件泄露了廣大用戶的姓名、電子郵件地址、性別、社交媒體賬戶身份、社交登錄的認證令牌以及加入隨機字符串的MD5密碼散列。

8、Kronos遭到攻擊

2021年12月，云人力資源管理公司Kronos遭到勒索軟件攻擊，彪馬(Puma跨國運動服裝制造商)成為受害者之一。攻擊者訪問了Kronos私有云(KPC)云環境，并在部署勒索軟件之前竊取了數據，包括6000多名彪馬員工的數據。

9、亞馬遜Prime數據泄露

美國科技巨頭亞馬遜任由一個名為“Sauron”的未加保護的Prime視頻數據庫泄露了大約2.15億條Prime視頻觀看偏好記錄。

該數據庫存儲在亞馬遜內部的一臺服務器上，存儲有數百萬條匿名觀看信息記錄，比如流播放的節目/影片、使用的設備、網絡質量、訂閱詳細信息和Prime客戶狀態。亞馬遜稱，問題的根本原因是Prime視頻分析服務器出現了部署錯誤，任何帳戶信息(包括憑據和支付資料)并沒有受到影響。

10、Civicom數據泄露

Civicom是一家提供音頻、互聯網會議和市場研究服務的公司，由于Amazon S3存儲桶的錯誤配置泄露了大量客戶的敏感數據，該存儲桶在沒有安全防護的情況下一直處于敞開的狀態。Civicom在此次事件中泄露了8GB的記錄，涉及了超過10萬份文件，包括數萬小時的秘密對話音頻和視頻記錄、公司客戶的書面記錄，以及員工的完整姓名和照片等個人身份信息(PII)。

云安全專業人才培養：

通過以上的云安全事件不難看出大部分的云安全事件都是由于企業或云安全維護人員疏于防護，沒有采取標準化、專業化的云安全相關措施。CSA云安全聯盟為了確保組織可以以最佳的安全控制來保證云環境的構建與使用，提出了云安全內最權威的CCSK云計算安全知識認證。全面闡述了云計算的安全概念及解決方案，為云安全的從業者提供了工作的標準。通過此認證云安全從業者可以最大限度的理解云安全的改概念并學會云安全的落地實踐，幫助云相關企業的數據防護牢不可破，是現在乃至未來云計算相關市場爭搶的人才。