欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

超过百分之七的Amazon S3系统服务器能公开访问这将引起数据泄漏事件猛增

来源:本站整理 作者:佚名 时间:2017-09-28 TAG: 我要投稿


在曩昔的一年中,对于 Amazon S3 办事器透露数据的报导忽然多了起来,这些透露的数据裸露了很多公司及其客户的私家信息。
在这些透露变乱中,最广泛的缘故原由便是亚马逊的员工将 Amazon S3 “bucket”设置装备摆设成“容许地下拜访”。这意味着只要有连接到 S3 办事器的链接,任何人都能够拜访,检查,下载办事器上的内容。
成绩在于,大多数公司都觉得,假如他人不知道数据库的 URL 地点,本身便是网安的。这固然纰谬,入侵攻击者在企业网络上停止中间人入侵攻击(MitM),员工不测透露,暴力破解都能够获得这些暗藏的 URL。
听起来是否是很复杂,但在 GitHub 上曾经有开源代码能够将这些破解进程变得易如反掌,大多数的公司都邑面对数据透露的危险。
7% 的 Amazon S3 都容许“地下拜访”
网安公司 Skyhigh Networks 的统计数据表现,7%的 Amazon S3 bucket 都未做地下拜访的限定,35%的 bucket 都未做加密,这意味着全部 Amazon S3 办事器中都广泛存在如许的成绩。
这些网安措施上的小失误曾经造成了很严重的效果,涉及规模从军工企业到美国 ISP(互联网办事供给商)巨擘。
如下是曩昔几个月,因为亚马逊“地下拜访”设置装备摆设成绩招致的数据透露变乱的不完全统计环境:
顶级防务公司 Booz Allen Hamilton 透露了60000份文件,包括员工的网安凭据和美国当局体系中的暗码。
Verizon 合作伙伴透露了跨越1400万 Verizon 客户的小我信息记载,包括姓名,地点,账户详细信息,和一部分客户的账户 PIN 码。
AWS S3 办事器透露了在 WWE fans 网站上注册的用户信息,涉及 3065805 名用户。
AWS S4 透露了快要1.98亿美国选民的小我资料。其数据库包括三家与共和党无关的公司信息。
AWS S3 透露了当局最高秘密中对于职位请求的相干信息
华尔街日报的母公司道琼斯透露了220万客户的小我资料
Omaha 投票推举公司的软件体系(ES& S)地下了一个可在线检查的数据库,包括180万芝加哥选民的小我信息。
研究人员在 Verizon AWS S3 bucket 上发觉了对于其外部体系(Distributed Vision Services )的100MB计费操纵数据。
一家汽车定位公司透露了跨越100万条的信息,包括登录/暗码,电子邮件,VIN(车辆辨认号码),GPS装备的 IMEI 码和其余数据,这些信息来自消费者,汽车经销商的装备中。
亚马逊也供给了一份详细的文档,能够赞助公司懂得办事器的权限级别:
权限治理概述
Amazon S3 资本拜访权限简介
若何治理 Amazon S3 资本权限
别的,趋势科技的技巧副总裁 Mark Nunnikhoven 也供给了一个简略的网安指南,先容若何确保 Amazon S3 的bucket 的数据网安。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载