《HarmonyOS:领航者说》技术公开课来啦,大咖分享、实战解码,不容错过 了解详情
写点什么

数千个 Amazon EBS 被暴露,大量敏感数据可能外泄

  • 2019-08-12
  • 本文字数:1010 字

    阅读完需:约 3 分钟

数千个Amazon EBS被暴露,大量敏感数据可能外泄

根据本届Def Con安全大会上公布的最新数据显示,不少公司、初创企业及政府机关无意中将内部文件泄露至云端。大部分开发者应该听过暴露在公共互联网上的 S3 存储桶,这些由亚马逊负责托管的存储服务器往往由于客户配置错误而不慎开放。一旦将其设置为“公开”,任何人都能够查看其中的敏感数据。但是,开发者可能还不太熟悉暴露的 EBS 快照,其很可能带来更高的安全风险。

事件回溯

网络安全厂商 Bishop Fox 公司高级安全分析师 Ben Morris 在 Def Con 会前的采访中表示,这些弹性块存储(EBS)快照保存着来自云应用程序的全部数据,存放着应用程序密钥,也承载着能够访问客户信息的数据库。


他同时指出:“在丢弃计算机磁盘时,大家都知道应该将其全部清空或者彻底销毁,但与之同样重要,甚至更为重要的 EBS 存储卷却被留在网上供人们随意查看。”

云管理员配置不当

Morris 表示,很多云管理员并没有选择正确的配置选项,并导致 EBS 快照以未加密的形式不慎公开。“这意味着能够上网的任何人都可以下载磁盘内容,并将其接入自己控制的设备当中,而后从中搜索一切本应得到严格保护的秘密。”


利用亚马逊提供的内部搜索功能,Morris 构建了一款工具用于查询并抓取公开暴露的 EBS 快照。他发现,单一区域内暴露的公开快照多达几十个,其中承载着应用程序密钥、关键用户或管理凭证、源代码等。他还从中看到几家大型企业的名字,包括医疗保健供应商以及科技公司等。


他估计,全部亚马逊云区域之上暴露的快照总量可能多达 1250 个。亚马逊方面的一位发言人称,该公司已经将消息通报至将 EBS 快照设置为公开的客户。“如果确实是无意中使用了这一设置,建议尽快撤销。”


Morris 计划在未来几周内公布自己的概念验证代码。“我会给各家企业留几周时间检查自己的磁盘,确保他们及时解决意外暴露问题。”

误操作导致的安全问题

在云计算环境下,企业经常会因为误操作或者配置不当造成数据泄漏。各大云计算平台基本都提供类似的功能,例如服务器有快照,数据库和日志有备份等。这些功能都“实用性”地提供了解决方案,并且比自己构建类似服务要简单好用,但很多企业为了节省成本可能并未接受云厂商的建议,此时就需要依靠企业自身的技术能力。


其次是权限问题,云平台的账户权限管理严格避免无意或者恶意的误操作,就像传统环境下,如果 root 口令全公司都知道,那么出了事情也不奇怪。


最后,通过堡垒机或者云平台自带的审计功能,至少知道发生故障时干了什么,怎么干的,这样恢复环境比较容易。


2019-08-12 15:5111579
用户头像
赵钰莹 极客邦科技 总编辑

发布了 894 篇内容, 共 681.1 次阅读, 收获喜欢 2694 次。

关注

评论

发布
暂无评论
发现更多内容

产品经理训练营笔记-产品思维和产品意识(上)

.nil?

产品经理训练营

我是这样使用极客时间APP的

熊斌

极客时间 28天写作

Elasticsearch Document 的 _version 元数据

escray

elastic 七日更 28天写作 死磕Elasticsearch 60天通过Elastic认证考试

四个策略,三个“坑”,读《架构师也不写代码》有感

李忠良

28天写作

Spring Boot 中集成 Shiro

武哥聊编程

Java springboot SpringBoot 2 shiro 28天写作

一顿午饭的现实思考

石君

28天写作 择业

机器学习笔记之:监督学习

Nydia

2021最新总结一个90后 双非本末 5面蚂蚁 如何拿到年薪60W+?

比伯

Java 编程 程序员 架构 面试

2020出行之变(二):新能源汽车的拥挤牌桌

脑极体

28天瞎写的第二百二十七天:跨年夜的故事

树上

28天写作

如何快速提升自己的能力?高效学习让你更出类拔萃。

一笑

学习方法 28天写作

如果公司要招一个人代替你

哈撒啦岛

产品经理训练营

核酸检测:让我明白AQS原理

叫练

AQS 共享锁 独占锁 可中断 条件队列

当情绪生病?就嫁接一段新的记忆「幻想短篇 16/28」

道伟

28天写作

碎碎念之「卡马克的反脆弱想法生成系统」

Justin

心理学 创意 28天写作 反脆弱

【CSS】格仔背景

德育处主任

html css3 大前端 CSS小技巧 28天写作

架构师训练营第九周课后作业

万有引力

张小龙:视频号是什么?| 视频号 28 天 (16)

赵新龙

28天写作

html容器以及CSS概述

程序员的时光

程序员 七日更 28天写作

重学JS | 通过无限循环动画案例理解CSS3动画与JS动画

梁龙先森

面试 大前端 编程语言 28天写作

原来Canal也可以做HA!

大数据老哥

【并发编程的艺术】详解指令重排序与数据依赖

程序员架构进阶

架构 并发 Java内存模型 28天写作

项目管理系列(9)- 从 0 到 1 搭建 PMO(二)

Ian哥

28天写作

2021开启数据结构与算法的学习之旅

Nick

学习 flag 新年计划

项目管理系列(9)- 项目分析与报告

Ian哥

28天写作

登录微软账号的Windows电脑如何远程?

BigYoung

微软 Windows 10 远程登录

解密阿里线上问题诊断工具Arthas和jvm-sandbox

比伯

Java 编程 架构 面试 计算机

网络出口究竟选择防火墙,还是路由器?

Java 程序经验小结:编程更好的使用泛型以替代原生态类型

后台技术汇

28天写作

GNUCash

lidaobing

GNUCash 28天写作 四柱结算法 复式记账

认识产品经理-产品JD作业

Weiyung

数千个Amazon EBS被暴露,大量敏感数据可能外泄_数据库_赵钰莹_InfoQ精选文章