原标题:AWS S3配置不当又一桩,数十万美国选民的个资曝光
图片来源:Bob△Diachenko
Kromtech△Security的安全研究人员Bob△Diachenko本周再度发现配置不当的AWS△S3储存贮体,这次的始作俑者是美国专门提供政治竞选活动电话语音行销服务的Robocent,Diachenko在Robocent的AWS△S3储存贮体中找到了数十万笔的美国选民资料。
Amazon△S3的全名为Amazon△Simple△Storage△Service,允许客户通过Web介面来存放及撷取各种类型的资料,并根据所使用的空间、流量与请求数量来计费,但近来频传Amazon△S3因不当的配置而造成资料外泄的意外。
Diachenko是利用免费的GrayhatWarfare来搜寻Amazon△S3的公开资料库,以“voters”为关键字找到了Robocent的储存贮体,该储存空间存放了2,594个档案,包含各种政治行销的语音档,以及选民资料,包括选民的全名、电话号码、住家地址、政治倾向、年纪、性别或教育程度等。
从去年迄今,因Amazon△S3配置不当而造成资料外泄的意外已不胜枚举,诸如2亿美国选民资料、600万Verizon用户资料、400万时代华纳用户资料,还有隶属于美国国防部的网络监控资料与机密资讯。
安全专家分析,最常见的Amazon△S3配置疏失为存取控制名单(Access△Control△Lists)的设定,把AuthenticatedUsers选项误以为是具备严格限制的存取政策,但事实上该选项却是允许全球所有具备AWS帐号的使用都能存取该储存贮体。
另一个值得注意的是代号为GrayhatWarfare的软件工程师在今年7月所设立的同名网站,该站列出了Amazon△S3上所有公开的储存贮体,而且还搭配了搜寻功能,这些公开的储存贮体有些可能是故意公开,有些则是因配置错误才曝光。
GrayhatWarfare说,过去他经常建置各种能够大规模扫描漏洞的工具,只是为了确认是否可行,却从未公诸于世,让他觉得自己是在浪费时间,这次他决定通过GrayhatWarfare展现自己的成果。
7月上旬时GrayhatWarfare网站所陈列的S3公开储存贮体有7万个,现在则只剩4.8万个,想必该服务提醒了不少Amazon△S3用户。
相关:
容器资安厂商Sysdig开始支援AWS Kubernetes代管服务
图片来源: Sysdig 在近日才发布一波大更新,加强支援Kubernetes、Prometheus的Sysdig,近日又再下一城,宣布开始支援AWS△Kubernetes代管服务EKS,而Sysdig这次发布的产品整合,同时将监控解决方案Sysdig△Monitor、
学术界发公开信要AWS停止提供美国政府脸部分辨技术,微软促政府主动监管
微软总裁兼首席法务官Brad△Smith敦促政府应对脸部分辨技术的应用制定相关法令。 图片来源: 微软 学术界于ICRAC(International△Committee△for△Robot△Arms△Control)网站发表公开信给Amazon以及美国政府,除了
AWS云端架构策略副总裁:飙速开发又有新方向,Serverless是容器和微服务的下一步
图片来源: 资料来源:Adrian△Cockcroft,iThome整理,2018年7月 早在2015年冬天AWS年度大会一场演讲中,AWS云端架构策略副总裁Adrian△Cockcroft就预言,Serverless将是下一阶段的云端架构方向。当时,Docker崛起才
【深度专访AWS云端架构策略副总裁】冲刺数位转型,企业需要什么IT新架构?
Adrian△Cockcroft有云端第一架构师的美称,也曾入选云端运算年度十大关键人物。 (摄影/洪政伟) 他是打造Netflix全球服务架构的关键人物。早在2009年,当时担任Netflix网站工程总监的Adrian△Cockcroft,就开始
AWS SQS现在可驱动AWS Lambda无伺服器事件了!
AWS的无伺服器应用服务又加强了,现在旗下的云端代管讯息佇列服务Amazon△Simple△Queue△Service(SQS),也可以用来驱动AWS△Lambda事件。SQS是AWS在2004年时就推出的云端服务,当时伺服器虚拟化技术尚未发展成熟,