「請在駭客發現漏洞前修復」 亞馬遜雲端服務資料恐外洩
安全研究人員向亞馬遜(Amazon)雲端數據儲存服務的用戶提出警告,表示用戶的隱私已被公開。《英國廣播公司》(BBC)於亞馬遜的伺服器上發現近50條警告,而這些訊息都警告用戶應保護訊息免於遭駭客竊取。
2017年時,亞馬遜網路服務涉及多起數據外洩事件,其錯誤配置也一再受到指責。
Why an Attack on Amazon, Microsoft, or Google Cloud Could Lead to "Cybergeddon" @Adam_K_Levin https://t.co/ZlVKaZ7MnX
— Inc. (@Inc) 2018年2月20日
亞馬遜雲端服務
亞馬遜公司以網路購物起家並聞名,旗下的雲端運算整合服務部門(Amazon Web Services, AWS)服務許多世界各大企業及政府機關。
然而,在亞馬遜的美國公司儲存數據中發現不同的訊息。有些表示該設置暴露了數據,有些則明確提出警告,其中一項訊息表示:「請在有心人士(bad guys)找到漏洞前修復。」
安全研究人員威金斯(Robbie Wiggins)經常搜索不安全的雲端系統,並向這些機構反應數據漏洞,「我得到的回應有金錢也有感謝。」不過因為沒有可用於安全團隊或伺服器管理員的詳細資訊,公司往往難以提出報告。
威金斯表示,他目前有一份約2000個不安全的數據儲存清單,也就是所知的桶(存放文件的容器),而他也持續在通知這些受影響的組織,「許多桶似乎被遺棄和遺忘。」
在過去的18個月裡,優步(Uber)、威訊無線(Verzion)、大數據分析公司Alteryx、世界摔角娛樂(WWE)、美國國防承包商博思艾倫漢密爾頓控股公司(Booz Allen Hamilton)、道瓊(Dow Jones),以及三家數據挖掘公司,都因為亞馬遜簡易儲存服務(Simple Storage Service, S3) 配置錯誤暴露了數據,這些公司失去了數以億計用戶數據。
亞馬遜的發言人表示,S3的默認配置設置保持數據隱密性。她表示,已經建立了多項工具,以便S3用戶能夠更輕鬆地保護數據或確定誰可以取得數據。