AWS 配置錯誤致 GoDaddy 數據泄漏！或破壞競爭優勢

更多全球網路安全資訊盡在E安全官網www.easyaq.com

UpGuard 網路風險小組近日發現了重大的數據泄露事件，涉及在亞馬遜AWS雲上運行的 GoDaddy 基礎設施。

GoDaddy 是「全球最大的域名註冊機構」，是最大的 SSL 證書提供商之一，截至2018年是市場份額最大的網路主機服務商。GoDaddy 擁有1750萬客戶和7600萬個域名，是互聯網基礎設施的一個重要組成部分，它所使用的雲是目前規模最大的一個。

泄露了哪些數據？

泄露的這些文件放在公眾可訪問的亞馬遜S3存儲桶中，泄露的文件包括成千上萬個系統的基本配置信息以及在亞馬遜AWS上運行的系統的定價選項，包括不同情況下給予的折扣。泄露的配置信息包括主機名、操作系統、「工作負載」（系統幹什麼用的）、AWS 區域、內存和 CPU 規格等更多信息。

實際上，這些數據直接泄露了一個規模巨大的 AWS 雲基礎設施部署環境，各個系統有41個列以及匯總和建模數據，分成總計、平均值及其他計算欄位。似乎包括 GoDaddy 從亞馬遜 AWS 獲得的折扣，通常，這對雙方來說屬於保密信息。

發現泄露時，GoDaddy的 CSTAR 風險評分是752分（滿分950分），亞馬遜的評分是793分。UpGuard 網路風險小組通知了 GoDaddy，對方已堵住了泄露，防止將來有人惡意使用泄露的數據。

2018年6月19日，UpGuard網路風險小組某分析師發現了一個名為abbottgodaddy的公眾可讀取的亞馬遜S3存儲桶。內部是一份電子表格的數個版本，這個17MB大小的微軟Excel文件含有多個工作表和成千上萬行。UpGuard在確定數據的性質後於2018年6月20日通知GoDaddy。GoDaddy在7月26日才通過電子郵件予以回復，UpGuard 的研究團隊證實漏洞在當天已堵住。

默認情況下，亞馬遜的S3存儲桶是私密的，只有指定用戶才能訪問。但由於理解有誤或配置有誤，這些許可權有時會被更改、允許公眾訪問，即訪問存儲桶URL的任何人都可以匿名查看未明確保護起來的任何內容，無需輸入密碼。S3許可權如何配置不當，因此必須極其小心：

• 所有用戶（每個人）－公共匿名訪問。任何有用戶名的人都可以打開存儲桶。

• 身份已驗證的用戶（所有AWS用戶）－擁有（免費）AWS帳戶的任何人都可以訪問該存儲桶。這種泄露應仍被視為公開泄露，因為獲取AWS帳戶輕而易舉。

無論是為企業部署數十個存儲桶還是建立個人雲存儲，了解這些公共許可權如何工作以及如何在任何特定的時間為你的資源設置它們，對於防止通過這條途徑泄露數據而言至關重要。

配置錯誤的 AWS 雲存儲實例引起的數據泄露已變得非常普遍，多得數不勝數，而這次的情況大不一樣，AWS 銷售人員的錯誤泄露了 GoDaddy 公司的機密信息。

據亞馬遜聲明，該存儲桶是「由 AWS 的銷售人員創建的」。雖然亞馬遜S3默認情況下是安全的，存儲桶訪問在默認配置下完全受到保護，但那位銷售人員在這一個存儲桶方面並沒有遵循AWS最佳實踐。

每個工作表都含有用於建模和分析在亞馬遜雲上運行的大規模基礎設施的一些數據。最大的工作表名為「GDDY Machine Raw Data」，列出了24000多個獨特主機名的41個數據點，包括給機器定位的信息，比如主機名、地理單位、業務部門、工作負載和數據中心，以及描述機器配置的信息。除了有獨特主機名的數千行外，少數的其他行似乎為多個機器概述了同樣的那些數據點。

數據泄露影響範圍

有兩條主要途徑可以利用這些數據：使用GoDaddy伺服器的配置數據作為「map」，因此不法分子可以基於其角色、可能的數據、大小和區域來選擇目標，使用業務數據作為雲託管策略和定價方面的競爭優勢。

系統配置數據為潛在的攻擊者提供了GoDaddy運作方面的信息。類似的「casing」信息常常通過社會工程學伎倆和互聯網研究來獲取，從而使其他攻擊儘可能行之有效，每個數據點都有助於實現這個目標。「workload」這一列尤其有助於將攻擊者引往正確的方向，顯示了哪些系統提供更重要的功能、可能含有重要數據。

雖然並不直接提供登錄信息或泄露存儲在這些伺服器上的敏感信息，但數字基礎設施的配置信息一旦泄露，就會為訪問這類信息的攻擊提供一塊跳板。

打破競爭優勢

並非只有黑客在伺機尋找這種信息。競爭對手、供應商、雲提供商及其他人都有興趣想知道世界上最大的域名主機服務商在如何處理雲支出。從亞馬遜AWS 和 GoDaddy 的規模來看，通過談判降低或提高一兩個百分點至關重要，因為這可能意味著每年相差數百萬美元。

了解 GoDaddy 的 AWS 折扣的細節可能會讓其他公司獲得談判優勢，並且了解原本保密的價位。此外，GoDaddy分配雲支出的方式也具有戰略意義：多少計算、多少存儲、在幾個區域之間劃分、在幾個環境下， 這可謂是指導運行最大規模的雲基礎設施的藍圖。

潛在嚴重影響

雖然這種結構數據對任何公司來說都很重要，但對於像 GoDaddy 這樣規模的公司來說尤為重要。有人可能會說，GoDaddy 擁有互聯網的五分之一。亞馬遜 AWS 是其領域的領導者，佔據基礎設施即服務市場約40%的份額。

雖然泄露的信息本身並不能為針對其系統的籌劃攻擊提供便利，但這種攻擊可能擾亂全球互聯網流量。如果說 DYN DNS 攻擊表明了什麼，那就是大規模的互聯網攻擊不僅有可能，而且極其有效，因為某些組織實際上已成為整個系統的嚴重故障點。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！