DigitalOcean部分客户数据遭泄露

作为现在最大的网络托管平台之一，DigitalOcean近期发生了一起数据泄露事件，导致部分客户数据暴露给未经授权的第三方。

尽管该公司尚未公开发表任何声明，但已经通过邮件形式向受影响客户发送警告。

从受影响客户（参考[1], [2]）收到的警告邮件来看，这次的数据泄露是由于人为疏忽所造成。DigitalOcean错误地将一份内网文件接入了互联网，并且没有设置访问密码。

DigitalOcean在警告邮件中提到：“这份文件中包含您的电子邮件地址和/或账户名称（您在注册时使用的账户名）以及其他账户相关数据，其中可能包括Droplet数量、带宽使用情况、产品支持情况或者售卖通信记录，以及您在2018年的消费账单”。

泄露事件发生后，调查显示该文件在删除前至少已被未经授权的第三方访问过15次。

DigitalOcean继续补充道：“我们的社区是建立在信任的基础上，因此我们正在采取措施，以确保此次事件今后不会再发生。我们将围绕如何保护客户数据对员工进行培训，使用新的程序以便及时告警潜在风险，修改配置避免再次出现数据泄露”。

需要注意的是，这次的泄露事件并不能说明DigitalOcean的网站已被入侵，也不意味着攻击者拿到了客户登录凭证。

因此，如果您拥有DigitalOcean托管服务账户，那么并不需要立即修改密码。但我们仍然建议客户启用双因素身份验证，以确保账户安全。

Hacker New已经联系DigitalOcean，后续进展我们将及时更新。

更新进展

DigitalOcean公司发言人表示：“我们发现有个文档处于公开共享状态，虽然我们确信没有攻击者恶意访问过该文档，但出于信息透明原则，我们还是选择将该信息如实告知客户。此次事件被波及的客户不到1%，文件中唯一涉及到的PII（personally identifiable information，个人可识别信息）为账户名和邮箱地址。”

“我们的系统上并没有发现恶意访问记录。客户信任我们，将数据交由我们保护，正因为如此，哪怕出现少量的非预期数据访问行为，我们都将与客户保持信息透明度”。

译文声明

译文仅供参考，具体内容表达以及含义原文为准