AWS S3伺服器擁有大量敏感數據
儘管如此,S3存儲桶已知包含大量敏感數據,如果被下載了依然具有勒索價值。
GDI基金會安全研究員Victor Gevers表示:「這麼多敏感數據從亞馬遜AWS S3雲中泄露出來令人驚訝。」
「在這些泄露事件中,我們已經發現了醫療數據、軍事數據、執法機構視頻、知識產權(源代碼和商業機密)、網站後台數據、許多備份檔案文件、私人密鑰、比特幣錢包等等,這些文件顯然不是「公開的」。」
在Victor Gevers發布的推特中,S3泄露出來的比特幣錢包文件的名稱非常明顯。
就像Wiggins一樣,Gevers也一直在掃描錯誤配置的伺服器,不過不是可公開寫入的伺服器,而是可公開讀取的伺服器,很多泄露數據都是從這些伺服器中出來的。
Gevers表示他已經發現並報告了529個AWS S3伺服器泄露數據,「其中只有109個在數天內被迅速修復」。
Victor Gevers的掃描結果
與去年對MongoDB資料庫的文件刪除勒索威脅不同,對AWS S3伺服器的攻擊更多的可能是針對可讀取(可公開下載)賬戶,特別是對於敏感數據。
特別是還有個變化是今年5月25日開始生效的歐盟GDPR《一般數據保護條例》,它對個人數據的保護出台了更嚴格的規定。
在該法規生效後,黑客都不用下載數據,只要對暴露的S3伺服器進行截圖,就可以向該公司勒索比特幣,否則它將面臨歐盟巨額罰款。
「GDPR將打開一個新的潘多拉盒,使網路犯罪變得更簡單,這幾乎不需要任何技能。」
你要尋找目標的話,「Shodan搜索或S3存儲搜索引擎將為你提供快速結果,你只需要知道要搜索的關鍵字,」Gevers說。這些搜索工具還包括Public Cloud Storage Search和BuckHacker。
亞馬遜同樣也在警告客戶
其實亞馬遜很清楚這樣的攻擊有很大的可能會發生。
該公司去年向所有擁有可公開訪問的S3存儲桶的客戶發送了電子郵件通知,並且最近還向AWS後端控制面板添加了可見警告。
「在2017年6月/ 7月左右,暴露的S3桶的數量明顯減少,」Vickery稱。「我認為亞馬遜發出的電子郵件通知發生了作用,不知道他們最近推出的大橙色警示標誌是否也會有效。」
亞馬遜在本周還宣布所有AWS用戶都可以免費訪問AWS Trusted Advisor S3 Bucket Permissions Check工具,它可以幫助用戶確保其AWS S3存儲桶正在運行適當的許可權;另一個備選工具是由Kromtech創建的Python腳本S3 Inspector。
無論哪種方式,保護亞馬遜AWS S3雲存儲的時間不多了,可公開寫入或讀取的S3伺服器所有者應該趕緊採取行動,在黑客動手之前。
TAG:白加黑啊 |