啪啪打脸，国际互联网协会数据泄露

2022/02/24

数万名国际互联网协会成员的个人信息因配置错误而被曝光在互联网上。作为互联网世界相关标准的制定、推广的机构，以推动互联网的发展为己任，常发布行业最佳实践供企业参考，却也因为网络安全漏洞出现信息被泄露事件，让人颇感尴尬。

国际互联网协会（Internet Society，简称ISOC）正式成立于1992年1月，是一个全球性的互联网组织，在推动互联网全球化，加快网络互连技术、发展应用软件、提高互联网普及率等方面发挥重要的作用。

2021年12月8日，Clario的安全研究人员在一个开放且未受保护的 Microsoft Azure blob 存储库中发现了大量不安全的数据，包含数百万个文件。随后，该团队和独立网络安全研究员 Bob Diachenko 合作报告了这一事件。

Bob发现，这些数据来自国际互联网协会（ISOC）的成员，数据类型包括姓名、性别、地址、电子邮件、登录账号和密码，且全部存储在json文件中。对此，Clario的安全研究人员表示，如此详细的信息很有可能来自国际互联网协会（ISOC），这意味着他们的隐私受到严重威胁。

在报告中，他们补充道，根据暴露存储库的大小和性质，我们认为所有成员的登录账号和密码等信息，在未来的某段时间内暴露在互联网上的概率非常大。

在发现了这一情况后，安全研究人员随即通过电子邮件向 ISOC 报告了这一事件。ISOC则立马对泄露事件展开了详细的调查，并着手开始这些数据的保护工作。

一个星期之后（12月15日），ISOC发布了泄露事件调查报告，将泄露原因归结于其管理系统提供商MemberNova的配置错误，致使部分ISOC成员的信息可以在互联网上被公开访问。目前暂未发现因数据泄露而造成其他任何恶意事件，且已经将该事件向成员通报。

Clario安全研究人员认为，ISOC发生如此严重的个人信息泄露事件实属不应该，这会对ISOC的声望造成严重影响，并让ISOC的成员面临将来可能出现的网络攻击风险。