安全路透社
当前位置:安全路透社 > 网络转载 > 正文

超过7%的Amazon S3服务器可公开访问,导致数据泄露事件激增

在过去的一年中,关于 Amazon S3 服务器泄露数据的报道突然多了起来,这些泄露的数据暴露了许多公司及其客户的私人信息。

在这些泄漏事件中,最普遍的原因就是亚马逊的员工将 Amazon S3 “bucket”配置成“允许公开访问”。这意味着只要有连接到 S3 服务器的链接,任何人都可以访问,查看,下载服务器上的内容。

问题在于,大多数公司都认为,如果别人不知道数据库的 URL 地址,自己就是安全的。这当然不对,攻击者在企业网络上进行中间人攻击(MitM),员工意外泄露,暴力破解都可以获取这些隐藏的 URL。

听起来是不是很复杂,但在 GitHub 上已经有开源代码可以将这些破解过程变得轻而易举,大多数的公司都会面临数据泄露的风险。

7% 的 Amazon S3 都允许“公开访问”

安全公司 Skyhigh Networks 的统计数据显示,7%的 Amazon S3 bucket 都未做公开访问的限制,35%的 bucket 都未做加密,这意味着整个 Amazon S3 服务器中都普遍存在这样的问题。

这些安全措施上的小失误已经造成了很严重的后果,波及范围从军工企业到美国 ISP(互联网服务提供商)巨头。

以下是过去几个月,由于亚马逊“公开访问”配置问题导致的数据泄露事件的不完全统计情况:

  1. 顶级防务公司 Booz Allen Hamilton 泄露了60000份文件,包括员工的安全凭证和美国政府系统中的密码。

  2. Verizon 合作伙伴泄露了超过1400万 Verizon 客户的个人信息记录,包括姓名,地址,账户详细信息,和一部分客户的账户 PIN 码。

  3. AWS S3 服务器泄露了在 WWE fans 网站上注册的用户信息,波及 3065805 名用户。

  4. AWS S4 泄露了将近1.98亿美国选民的个人资料。其数据库包含三家与共和党有关的公司信息。

  5. AWS S3 泄露了政府最高机密中关于职位申请的相关信息

  6. 华尔街日报的母公司道琼斯泄露了220万客户的个人资料

  7. Omaha 投票选举公司的软件系统(ES& S)公开了一个可在线查看的数据库,包含180万芝加哥选民的个人信息。

  8. 研究人员在 Verizon AWS S3 bucket 上发现了关于其内部系统(Distributed Vision Services )的100MB计费操作数据。

  9. 一家汽车定位公司泄露了超过100万条的信息,包括登录/密码,电子邮件,VIN(车辆识别号码),GPS设备的 IMEI 码和其他数据,这些信息来自消费者,汽车经销商的设备中。

亚马逊也提供了一份详细的文档,可以帮助公司了解服务器的权限级别:

权限管理概述

Amazon S3 资源访问权限简介

如何管理 Amazon S3 资源权限

此外,趋势科技的技术副总裁 Mark Nunnikhoven 也提供了一个简单的安全指南,介绍如何确保 Amazon S3 的bucket 的数据安全。

*参考来源:bleepingcomputer,FB小编 Liki 编译

未经允许不得转载:安全路透社 » 超过7%的Amazon S3服务器可公开访问,导致数据泄露事件激增

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册