AWS S3伺服器擁有大量敏感數據

儘管如此，S3存儲桶已知包含大量敏感數據，如果被下載了依然具有勒索價值。

GDI基金會安全研究員Victor Gevers表示：「這麼多敏感數據從亞馬遜AWS S3雲中泄露出來令人驚訝。」

「在這些泄露事件中，我們已經發現了醫療數據、軍事數據、執法機構視頻、知識產權（源代碼和商業機密）、網站後台數據、許多備份檔案文件、私人密鑰、比特幣錢包等等，這些文件顯然不是「公開的」。」

在Victor Gevers發布的推特中，S3泄露出來的比特幣錢包文件的名稱非常明顯。

就像Wiggins一樣，Gevers也一直在掃描錯誤配置的伺服器，不過不是可公開寫入的伺服器，而是可公開讀取的伺服器，很多泄露數據都是從這些伺服器中出來的。

Gevers表示他已經發現並報告了529個AWS S3伺服器泄露數據，「其中只有109個在數天內被迅速修復」。

Victor Gevers的掃描結果

與去年對MongoDB資料庫的文件刪除勒索威脅不同，對AWS S3伺服器的攻擊更多的可能是針對可讀取（可公開下載）賬戶，特別是對於敏感數據。

特別是還有個變化是今年5月25日開始生效的歐盟GDPR《一般數據保護條例》，它對個人數據的保護出台了更嚴格的規定。

在該法規生效後，黑客都不用下載數據，只要對暴露的S3伺服器進行截圖，就可以向該公司勒索比特幣，否則它將面臨歐盟巨額罰款。

「GDPR將打開一個新的潘多拉盒，使網路犯罪變得更簡單，這幾乎不需要任何技能。」

你要尋找目標的話，「Shodan搜索或S3存儲搜索引擎將為你提供快速結果，你只需要知道要搜索的關鍵字，」Gevers說。這些搜索工具還包括Public Cloud Storage Search和BuckHacker。

亞馬遜同樣也在警告客戶

其實亞馬遜很清楚這樣的攻擊有很大的可能會發生。

該公司去年向所有擁有可公開訪問的S3存儲桶的客戶發送了電子郵件通知，並且最近還向AWS後端控制面板添加了可見警告。

「在2017年6月/ 7月左右，暴露的S3桶的數量明顯減少，」Vickery稱。「我認為亞馬遜發出的電子郵件通知發生了作用，不知道他們最近推出的大橙色警示標誌是否也會有效。」

亞馬遜在本周還宣布所有AWS用戶都可以免費訪問AWS Trusted Advisor S3 Bucket Permissions Check工具，它可以幫助用戶確保其AWS S3存儲桶正在運行適當的許可權；另一個備選工具是由Kromtech創建的Python腳本S3 Inspector。

無論哪種方式，保護亞馬遜AWS S3雲存儲的時間不多了，可公開寫入或讀取的S3伺服器所有者應該趕緊採取行動，在黑客動手之前。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！