AWS S3 bucket面臨危險 或成勒索軟體攻擊的主要雲目標！

對AWS用戶來說，配置錯誤的亞馬遜AWS S3 bucket已經成為一個太常見的問題，安全研究人員正在注意。知名的安全研究人員Kevin Beaumont警告稱，可供公開寫入的S3 buckets可能被犯罪分子用于勒索攻擊，這有點類似於去年成千上萬個MongoDB實例事件。

先來回憶一下，2017年初發生的MongoDB資料庫攻擊事件。MongoDB是目前許多知名公司廣泛採用的資料庫，包括eBay、《紐約時報》和LinkedIn等。

當時，一名安全專家稱由於存在配置漏洞，可以不通過任何認證直接訪問某些MongoDB資料庫，而黑客早已盯上了這些目標。截至1月中旬，有幾十名黑客相繼入侵MongoDB資料庫，遭到入侵、勒索的資料庫超過了33000個。這真是一個「血淋淋」的教訓。

而在亞馬遜AWS S3 bucket上存在相似的問題。鑒於勒索軟體攻擊的性質及存在S3 buckets中的大量數據，黑客複製數據來還原實際支付贖金的受影響用戶的成本效益不高。因此，在支付贖金的情況下，能檢索數據的可能性相當低，這使得此類攻擊成為「虛假贖金」。

安全研究人員Robbie Wiggins一直在運行一個腳本，稱該腳本在2配置為可公開寫入的Buckets中插入一個名為「POC.txt」的文件。Wiggins在推文中稱，該筆記迄今已留在5260 buckets中。

BBC報道說，在該組織控制的系統中發現了近50個這樣的警告。 在對BBC的一份聲明中，Wiggins指出，到目前為止確定的buckets中，「很多buckets似乎被遺棄和遺忘。」

企業安全公司FireMon的負責人Josh Mayfield表示，「在未來的幾個月，AWS將看到一場可觀的勒索軟體攻擊，不僅僅是因為AWS安全上的某些漏洞，而是因為配置錯誤。一直以來有種想法，自從基礎設施變成一種服務（IaaS）,保護它們系統的責任就完全落到IaaS提供商的身上。」

Mayfield也提到，「AWS經歷了艱苦的安全開發，從而為公有雲帶來了最強大的控制，但是AWS用戶仍然無法成功配置這些控制。」

為了緩解潛在的問題，亞馬遜本周宣布AWS Trusted Advisor中的buckets許可權核查將對所有用戶實行免費。此實用程序之前僅僅供商業和企業支持客戶使用。鑒於前面提到的那些從公共訪問的S3 bucket中盜取文件的團體在邏輯上將會進入這些支持層，Mayfield聲稱用戶未能主動配置這些設置是正確的。

實際上，根據Freebuf的報道，安全公司 Skyhigh Networks 的統計數據顯示，7%的 Amazon S3 bucket 都未做公開訪問的限制，35%的 bucket 都未做加密，這意味著整個 Amazon S3 伺服器中都普遍存在這樣的問題。

結果是，很多公司發生了數據泄露事件，包括包括威瑞森、NSA、the US Military、法國市場公司Octoly和分析公司Alteryx，甚至包括來自全球最大徵信機構Experian和美國人口普查局的數據。

下面是一些詳情：

1.頂級防務公司 Booz Allen Hamilton 泄露了60000份文件，包括員工的安全憑證和美國政府系統中的密碼。

2.Verizon 合作夥伴泄露了超過1400萬 Verizon 客戶的個人信息記錄，包括姓名，地址，賬戶詳細信息，和一部分客戶的賬戶 PIN 碼。

3.AWS S3 伺服器泄露了在 WWE fans 網站上註冊的用戶信息，波及 3065805 名用戶。

4.AWS S4 泄露了將近1.98億美國選民的個人資料。其資料庫包含三家與共和黨有關的公司信息。

5.AWS S3 泄露了政府最高機密中關於職位申請的相關信息

6.華爾街日報的母公司道瓊斯泄露了220萬客戶的個人資料

7. Omaha 投票選舉公司的軟體系統（ES& S）公開了一個可在線查看的資料庫，包含180萬芝加哥選民的個人信息。

8. 研究人員在 Verizon AWS S3 bucket 上發現了關於其內部系統（Distributed Vision Services ）的100MB計費操作數據。

9. 一家汽車定位公司泄露了超過100萬條的信息，包括登錄/密碼，電子郵件，VIN（車輛識別號碼），GPS設備的 IMEI 碼和其他數據，這些信息來自消費者，汽車經銷商的設備中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！