AWS 導致 GoDaddy 數據泄漏！這次「銷售」背鍋

配置錯誤的AWS雲存儲實例引起的數據泄露已變得非常普遍，多得數不勝數，而這次的情況大不一樣，AWS銷售人員的錯誤泄露了GoDaddy公司的機密信息。

據亞馬遜聲明，該存儲桶是「由AWS的銷售人員創建的」。雖然亞馬遜S3默認情況下是安全的，存儲桶訪問在默認配置下完全受到保護，但那位銷售人員在這一個存儲桶方面並沒有遵循AWS最佳實踐。

UpGuard網路風險小組近日發現了重大的數據泄露，涉及的文件似乎描述了在亞馬遜AWS雲上運行的GoDaddy基礎設施，並採取了保護措施，防止將來有人利用該信息。泄露的這些文件放在公眾可訪問的亞馬遜S3存儲桶中，GoDaddy是「全球最大的域名註冊機構」，是最大的SSL證書提供商之一，截至2018年是市場份額最大的網路主機服務商。泄露的文件包括成千上萬個系統的基本配置信息以及在亞馬遜AWS上運行那些系統的定價選項，包括不同情況下給予的折扣。

泄露的配置信息包括主機名、操作系統、「工作負載」（系統幹什麼用的）、AWS區域、內存和CPU規格等更多信息。實際上，這些數據直接泄露了一個規模非常大的AWS雲基礎設施部署環境，各個系統有41個列以及匯總和建模數據，分成總計、平均值及其他計算欄位。還似乎包括GoDaddy從亞馬遜AWS獲得的折扣，這對雙方來說通常是保密的信息――它們必須協商費率，GoDaddy的競爭對手也是如此。

GoDaddy擁有1750萬客戶和7600萬個域名，是互聯網基礎設施的一個重要組成部分，它所使用的雲是目前規模最大的一個。發現泄露時，GoDaddy的CSTAR風險評分是752分（滿分950分），亞馬遜的評分是793分。UpGuard網路風險小組通知了GoDaddy，對方已堵住了泄露，防止將來有人惡意使用泄露的數據。

發現經過

2018年6月19日，UpGuard網路風險小組的一位分析師發現了一個名為abbottgodaddy的公眾可讀取的亞馬遜S3存儲桶。內部是一份電子表格的數個版本，最新版本被命名為「GDDY_cloud_master_data_1205 (AWS r10).xlsx」，這個17MB大小的微軟Excel文件含有多個工作表和成千上萬行。UpGuard在確定數據的性質後於2018年6月20日開始通知GoDaddy。GoDaddy在7月26日才通過電子郵件予以回復，UpGuard的研究團隊證實漏洞在當天已堵住。

關於S3存儲桶

默認情況下，亞馬遜的S3存儲桶是私密的，這意味著只有指定用戶才能訪問。然而，由於理解有誤或配置有誤，這些許可權有時會被更改、允許公眾訪問，這意味著訪問存儲桶URL的任何人都可以匿名查看未明確保護起來的任何內容，無需輸入密碼。我們已經概述了S3許可權如何配置不當、因而泄露數據的幾個例子，但簡單地說，有兩個組在使用時必須極其小心：

所有用戶（每個人）－公共匿名訪問。任何有用戶名的人都可以打開存儲桶。

身份已驗證的用戶（所有AWS用戶）－擁有（免費）AWS帳戶的任何人都可以訪問該存儲桶。這種泄露應仍被視為公開泄露，因為獲取AWS帳戶輕而易舉。

無論是為企業部署數十個存儲桶還是建立個人雲存儲，了解這些公共許可權如何工作以及如何在任何特定的時間為你的資源設置它們，對於防止通過這條途徑泄露數據而言至關重要。

文件內容

內容摘要

雖然存儲桶中有幾個電子表格文件，但它們實際上是同一工作表的多個修訂版，「R10」是最後一個修訂版。最新的電子表格有8個標籤：

Data Legend（數據圖例）

GDDY Machine Raw Data（GDDY機器原始數據）

Summary（摘要）

Compute（計算）

Storage（存儲）

Instance Mapping（實例映射）

Spot（競價型實例）

Price List（價格清單）

每個工作表都含有用於建模和分析在亞馬遜雲上運行的大規模基礎設施的一些數據。

最大的工作表名為「GDDY Machine Raw Data」，列出了24000多個獨特主機名的41個數據點，包括給機器定位的信息，比如主機名、地理單位、業務部門、工作負載和數據中心，以及描述機器配置的信息，比如「總的vCPU（AWS）」、「總的內存（AWS）」、「CPU數量（已配置）」、「核心數量（已配置）」、「總的vCPU（已配置）」、「vCPU（每個實例所需）」、「vCPU（所需總數）」、「CPU平均利用率（%）和CPU峰值利用率（%）」、「內存（GB）（已配置）」、「內存（GB）（每個實例所需）」、「內存（GB）（所需總量）」、「內存平均利用率（%）和內存峰值利用率（%）」以及「存儲（GB）」。除了有獨特主機名的數千行外，少數的其他行似乎為多個機器概述了同樣的那些數據點。

其他工作表把這些信息單列了出來。

屏幕截圖

其他工作表隨後將技術性使用轉換成財務數字。

其他工作表提供了大體的摘要。

造成的後果

有兩條主要途徑可以利用這些數據：使用GoDaddy伺服器的配置數據作為「map」，因此不法分子可以基於其角色、可能的數據、大小和區域來選擇目標，使用業務數據作為雲託管策略和定價方面的競爭優勢。

系統配置信息

系統配置數據為潛在的攻擊者提供了GoDaddy運作方面的信息。類似的「casing」信息常常通過社會工程學伎倆和互聯網研究來獲取，從而使其他攻擊儘可能行之有效，每個數據點都有助於實現這個目標。「workload」這一列尤其有助於將攻擊者引往正確的方向，顯示了哪些系統提供更重要的功能、可能含有重要數據。

雖然並不直接提供登錄信息或泄露存儲在這些伺服器上的敏感信息，但數字基礎設施的配置信息一旦泄露，就會為訪問這類信息的攻擊提供一塊跳板。

競爭優勢

但並非只有黑客在伺機尋找這種信息。競爭對手、供應商、雲提供商及其他人都有興趣想知道世界上最大的域名主機服務商在如何處理雲支出。從亞馬遜AWS和GoDaddy的規模來看，通過談判降低或提高一兩個百分點至關重要，因為這可能意味著每年相差數百萬美元。但是，了解GoDaddy的AWS折扣的細節可能會讓其他公司獲得談判優勢，並且了解原本保密的價位。此外，GoDaddy分配雲支出的方式也具有戰略意義：多少計算、多少存儲、在幾個區域之間劃分、在幾個環境下， 這可謂是指導運行最大規模的雲基礎設施的藍圖。

嚴重影響

雖然這種結構數據對任何公司來說都很重要，但對於像GoDaddy這麼舉足輕重的大公司來說尤為重要。有人可能會說，GoDaddy擁有互聯網的五分之一。亞馬遜AWS是其領域的領導者，佔據基礎設施即服務市場約40%的份額。雖然泄露的信息本身並不能為針對其系統的籌劃攻擊提供便利，但這種攻擊可能擾亂全球互聯網流量。如果說DYN DNS攻擊表明了什麼，那就是大規模的互聯網攻擊不僅有可能，而且極其有效，因為某些組織實際上已成為整個系統的嚴重故障點。

結束語

如今，大家認為互聯網是一種無處不在的「完全可行」的服務。但就像那些依賴互聯網開展業務的公司一樣，負責互聯網核心基礎設施的公司也面臨著技術風險，雖然大大小小的組織必須在業務風險評估中考慮數據泄露，但是在超大規模環境下，錯誤配置可能更難找到，釀成的後果會嚴重得多。

雖然利用這種數據的潛在威脅需要蓄意破壞的不法分子，但通過配置錯誤的存儲服務泄露這些數據卻不需要。如果及時發現和修復錯誤配置的運作意識和流程沒有到位，從GoDaddy和亞馬遜這些大型公司到中小企業，使用雲技術的任何人都面臨無意泄露數據的風險。無論是主數據中心的資產，還是託管在第三方系統上的資產，數字供應鏈中的所有環節都要具有彈性，以保護數據。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！