美國聯邦調查局( FBI )稱,惡意黑客可利用匿名文件傳輸協議( FTP )服務器漏洞入侵小型醫療機構與牙科診所,獲取醫療記錄和其他敏感私人信息,並以此進行騷擾、恐嚇、勒索甚至欺詐。
相應補救措施是刪除服務器中所有個人身份信息( PII )與受保護的健康信息( PHI ),將現有 FTP 替換為更安全的文件傳輸服務。然而,儘管將敏感數據存儲在 FTP 服務器的風險眾所周知,小型企業通常並不具備專業升級技術或動機。
匿名 FTP 無需身份驗證即可訪問服務器文件,建議僅使用此類服務器存儲公開文件。匿名 FTP 擴展允許用戶使用“ anoymous ”或“ ftp ”等常見用戶名在無需提交密碼、通用密碼或電子郵件地址的情況下通過 FTP 服務器進行身份驗證。
《健康保險流通與責任法案》( HIPAA )通過對違規者懲處罰金的方式對 PHI 進行保護。此外,《隱私法》與相關條例也通過類似方法對 PII 進行保護。
Globalscape 產品戰略和技術聯盟副總裁 Peter Merkulov 表示,PII 和 PHI 數據洩露的代價遠遠超過替換為更安全的文件傳輸服務和支持(如 SFTP 或 FTPS )的成本。FTP 是一個早已過時的協議,即使在不匿名的模式下使用也極其危險。雖然現存數量較以往有所減少,但通常部署於多年前且從未進行過升級,甚至被遺忘。這種情況在大型組織機構尤為常見。
儘管如此,FBI 引用的《 2015 年度研究報告》仍顯示,超過一百萬臺 FTP 服務器被配置為允許匿名訪問。Merkulov推測 FBI 此舉的動機源於實際調查工作中對 FTP 漏洞利用的發現。
擺脫匿名 FTP 服務其實十分簡單,僅需花費數分鐘更改服務器設置。如果根據訪問服務器的客戶端軟件類型操作,整個過程會更復雜,需要對用戶憑據和帳戶進行設置。
原作者:Tim Greene,譯者:青楚,校對:Liuf
聲明:本文由【黑客視角】獨立翻譯整理、並於 HackerNews.cc 同步推送,轉載請註明來源和鏈接。聯繫方式:郵箱 hackernews#vip.163.com
相關推薦
