黑客神器BuckHacker：可抓取AWS敏感數據的搜索引擎

E安全2月20日訊 一項專門面向白帽黑客群體的新服務已經啟動，名為 Buckhacker 的項目創建了一套類似於谷歌的搜索引擎，可通過瀏覽暴露在互聯網當中的伺服器發現企業不慎泄露的敏感數據，允許任何用戶對存儲在亞馬遜Amazon Web Services（簡稱AWS）伺服器存儲桶上的非安全數據進行搜索。

事實上，過去的2017年當中已經發生了大量數據泄露事件，眾多全球領先企業在AWS伺服器上存儲客戶與業務數據且未配合進行密碼保護，這意味著任何掌握存儲桶具體地址的人均可對相關內容進行訪問。

Buckhacker的優勢在哪裡？

通常情況下，這些發現需要由各安全研究小組在互聯網上對可公開訪問的伺服器進行廣泛搜索。Buckhacker 能夠顯著簡化這一操作過程，即允許用戶通過使用可能與目標企業相關的存儲桶名稱或文件名稱來搜索AWS列表。該項目的開發者們表示，這是為了提高安全意識而非幫助潛在黑客群體。

儘管該工具的設計水平並不算高，但其確實能夠收集結果並將存儲在資料庫當中的信息供其他用戶查看。開發者在採訪當中解釋稱，「此項目的目標在於提升存儲桶安全保障意識，目前眾多企業因存儲桶管理許可權錯誤而蒙受損失。該項目目前尚處於剛剛起步的階段（我們正在努力修復其中的一些bug）。」

AWS 壓力山大

Buckhacker項目並不是第一種此類工具，在此之前 AWSBucketDump 等工具已經允許用戶以惡意方式查找暴露 AWS 存儲桶; 如果用戶明確知曉自己需要搜索什麼，甚至可以通過谷歌訪問特定伺服器地址。然而 Buckhacker 之所以值得關注，是因為它可能是迄今為止最易於使用的、具備用戶界面的工具方案。

Bitglass 安全公司產品管理副總裁邁克·許里希特表示：「鑒於攻擊者能夠輕鬆使用這款發現工具，因此確保企業基礎設施不向公眾開放應當成為企業IT部門必須遵循的基本原則之一。」

就在這款新工具亮相的同時，美國聯邦快遞公司客戶的11萬9千個文件亦被發現遭到泄露，其中包含家庭住址、電子郵件地址以及用戶的駕照與護照等細節信息。

許里希特表示，這家快遞公司只是掌握著巨額財富與深層安全資源，但卻因同一基本但卻嚴重的錯誤而落入陷阱的又一位巨頭級受害者。

Amazon公司曾在2017年11月指出，其將為所有新的 AWS 伺服器引入默認加密技術，其可在理論上防止此類泄露事件的再次發生。然而，用戶需要以手動方式將這項加密功能應用於一切原有存儲桶，這意味著那些存儲在企業並不知曉的伺服器上的數據仍然面臨著嚴重威脅。

研究人員已經Amazon方面已經意識到這款新工具的存在。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！