Í byrjun október 2025 uppgötvaði öryggisrannsakandinn Jeremiah Fowler gagnagrunn án verndar tengdan Invoicely, sem er reiknings- og greiðslu vettvangur staðsettur í Vín. Þessi gagnasafn innihélt 178.519 skrár, þar á meðal reikninga, skannaðar greiðsluseðla, skattaheimildir og kvittanir, sem allar innihéldu viðkvæmar persónu- og fjárhagsupplýsingar.
Fowler sagði: „Opinberlega afhjúpaði gagnagrunnurinn ekki aðgangsorð eða dulkóðun.“
Atvikið undirstrikar áframhaldandi áhættur sem tengjast mistökum í skýjagögnunum og brotum á gögnum í hugbúnaðarþjónustu (SaaS). Skrárnar sem voru afhjúpaðar innihéldu persónuauðkenni (PII) og greiðsluupplýsingar sem hægt væri að nýta til að framkvæma auðkennisþjófnað, reikningssvik eða markvissar phishing árásir.
Vettvangur Invoicely býður upp á skýjaþjónustu fyrir sjálfvirkar greiðslur, endurteknar greiðslur og útgjaldaskráningu. Með því að hafa verið mikið notaður af smáfyrirtækjum, frílansurum og stórfyrirtækjum vekur afhjúpun Invoicely upp áhyggjur um öryggisstöðu SaaS veitenda sem vinna með viðkvæm gögn viðskiptavina.
Gagnalekinn átti sér stað vegna óvarinna Amazon S3 geymslu sem var ranglega stillt með „opinber lesréttindi“ – sem þýðir að allir sem þekktu URL uppbygginguna gátu nálgast efnið. Engin auðkenning eða dulkóðun verndaði skrárnar, sem gerði þær viðkvæmar fyrir einföldum sýnatökutólum eins og AWSBucketFinder. Rannsakandinn tók eftir því að heiti geymslunnar, invoicely_backup_public, gaf til kynna að hún hefði hugsanlega verið ætluð fyrir innri afrit eða flutning. Hins vegar gerði skorts á öryggisvörðum að hún var algerlega aðgengileg fyrir opinberan internetið.
Samkvæmt Fowler er einnig ókunnugt hversu lengi gagnagrunnurinn var opinber áður en hann uppgötvaðist eða hvort aðrir hafi komist að aðgangi að honum. „Aðeins innri réttarhagsrannsókn gæti greint frá frekari aðgangi eða hugsanlegri grunsamlegri virkni,“ bætti hann við. Þrátt fyrir að engin sönnun um misnotkun hafi komið fram, er hugsanleg skaðinn verulegur. Miklar upplýsingar sem afhjúpaðar voru gætu gert mögulegt að falsa reikninga, svika skatta eða framkvæma félagslegar verkferlaárásir með því að nýta raunveruleg viðskipti.
Til að minnka líkurnar á og áhrif framtíðargagnalekana ættu fyrirtæki að taka upp marglaga öryggisstrategíu sem sameinar tæknilegar varnir, virka eftirlit og menningu ábyrgðar. Styrkja þarf skýjagögn: Gilda þarf strangar geymsluskilmála, nota þarf skýjaöryggisstaðsetningu (CSPM) verkfæri til að greina rangar stillingar, og skoða þarf aðgangsréttindi vegna samræmis. Vernda og takmarka þarf gögn: Dulkóða þarf gögn í flutningi og í hvíld, minnka þarf geymslu og setja þarf inn verkfæri til að hindra gögnataps (DLP) til að koma í veg fyrir óleyfilega afhjúpun.
Harðna þarf aðgangs- og auðkennisstjórn: Beita þarf núll-trú, krafist þarf MFA og framfylgja þarf minnst-mikil aðgangsréttindi með hlutbundinni aðgangsstjórn (RBAC) eða eiginleika aðgangsstjórn (ABAC). Öryggi þarf að innleiða í þróun: Þróunarferli (DevOps) þarf að sameina öryggispróf í innri skýjaskipulagi (IaC) og sífellt þurfa að vera sjálfvirk próf á veikleikum.
Einnig þarf að efla viðbragð og vöktun veitenda: Viðhalda þarf prófaðri viðbragðsáætlun, fylgjast þarf með fyrirbrigðum og krafist þarf að veitendur séu að fylgja jafngóðum öryggiskröfum. Verða þarf til menningu sem leggur áherslu á öryggi: Veita þarf stöðuga öryggistrainingu og stuðla að ábyrgri afhjúpun í gegnum villuhefð eða veikleika.
Með því að innleiða þessar aðgerðir geta fyrirtæki dregið úr hættu á skýjagalla, gagnalekum og innri ógnunum. Þegar fyrirtæki treystir meira á SaaS vettvang, er oft hraðað að setja upp skalanlegar þjónustur, sem getur farið fram úr öruggri stillingu.
Samkvæmt AFP greiðslu svikaskýrslunni 2024, upplifðu 80% fyrirtækja tilraunir til reikningssvika árið 2023 – hækkun um 15 prósentustig frá 65% (2022) upp í 80% (2023). Afhjúpanir eins og Invoicely veita illgjörnum aðilum fullkomið verkfæri til að framkvæma sannfærandi svik, sem magnar hættuna um allt fjárhagskerfið. Þó að Invoicely hafi brugðist skjótt við til að tryggja kerfi sín, þjónar atburðurinn sem viðvörun fyrir alla skýjaþjónustuveitendur: gagnasýnileiki má aldrei koma í stað öryggis. Því meira sem skýjanotkun eykst, getur ein einasta ranglega stillt afrit leitt til þess að þúsundir viðskiptavina verði fyrir auðkennis- og fjárhagslegum svikum. Með vaxandi hættum gagnalekanna ættu fyrirtæki að meta vandlega hvaða skýjageymsluveitendur bjóða upp á áreiðanleika, öryggi og samræmi sem nauðsynleg er til að vernda gögn þeirra.
