写点什么

数千个 Amazon EBS 被暴露,大量敏感数据可能外泄

  • 2019-08-12
  • 本文字数:1010 字

    阅读完需:约 3 分钟

数千个Amazon EBS被暴露,大量敏感数据可能外泄

根据本届Def Con安全大会上公布的最新数据显示,不少公司、初创企业及政府机关无意中将内部文件泄露至云端。大部分开发者应该听过暴露在公共互联网上的 S3 存储桶,这些由亚马逊负责托管的存储服务器往往由于客户配置错误而不慎开放。一旦将其设置为“公开”,任何人都能够查看其中的敏感数据。但是,开发者可能还不太熟悉暴露的 EBS 快照,其很可能带来更高的安全风险。

事件回溯

网络安全厂商 Bishop Fox 公司高级安全分析师 Ben Morris 在 Def Con 会前的采访中表示,这些弹性块存储(EBS)快照保存着来自云应用程序的全部数据,存放着应用程序密钥,也承载着能够访问客户信息的数据库。


他同时指出:“在丢弃计算机磁盘时,大家都知道应该将其全部清空或者彻底销毁,但与之同样重要,甚至更为重要的 EBS 存储卷却被留在网上供人们随意查看。”

云管理员配置不当

Morris 表示,很多云管理员并没有选择正确的配置选项,并导致 EBS 快照以未加密的形式不慎公开。“这意味着能够上网的任何人都可以下载磁盘内容,并将其接入自己控制的设备当中,而后从中搜索一切本应得到严格保护的秘密。”


利用亚马逊提供的内部搜索功能,Morris 构建了一款工具用于查询并抓取公开暴露的 EBS 快照。他发现,单一区域内暴露的公开快照多达几十个,其中承载着应用程序密钥、关键用户或管理凭证、源代码等。他还从中看到几家大型企业的名字,包括医疗保健供应商以及科技公司等。


他估计,全部亚马逊云区域之上暴露的快照总量可能多达 1250 个。亚马逊方面的一位发言人称,该公司已经将消息通报至将 EBS 快照设置为公开的客户。“如果确实是无意中使用了这一设置,建议尽快撤销。”


Morris 计划在未来几周内公布自己的概念验证代码。“我会给各家企业留几周时间检查自己的磁盘,确保他们及时解决意外暴露问题。”

误操作导致的安全问题

在云计算环境下,企业经常会因为误操作或者配置不当造成数据泄漏。各大云计算平台基本都提供类似的功能,例如服务器有快照,数据库和日志有备份等。这些功能都“实用性”地提供了解决方案,并且比自己构建类似服务要简单好用,但很多企业为了节省成本可能并未接受云厂商的建议,此时就需要依靠企业自身的技术能力。


其次是权限问题,云平台的账户权限管理严格避免无意或者恶意的误操作,就像传统环境下,如果 root 口令全公司都知道,那么出了事情也不奇怪。


最后,通过堡垒机或者云平台自带的审计功能,至少知道发生故障时干了什么,怎么干的,这样恢复环境比较容易。


2019-08-12 15:5111575
用户头像
赵钰莹 极客邦科技 总编辑

发布了 894 篇内容, 共 679.9 次阅读, 收获喜欢 2694 次。

关注

评论

发布
暂无评论
发现更多内容

Spring Data MongoDB 使用示例

Java mongodb 4月月更

【建议收藏】整理Golang面试第二篇干货13问

利志分享

golang golang 面试

C语言总结_数组知识

DS小龙哥

4月月更

活动报名|OpenHarmony 战“码”先锋,PR征集令

OpenHarmony开发者

OpenHarmony

基于场景文字的多模态融合的图像分类

华为云开发者联盟

计算机视觉 图像分类 场景文本 图像视觉 多模态融合分析

一文掌握 Docker 技术体系

博文视点Broadview

稳定性领导者!阿里云获得信通院多项系统稳定性最高级认证

阿里巴巴云原生

阿里云 云原生 可观测 性能压测 获奖

好的每日站会,应该这么开 | 敏捷开发落地指南

阿里云云效

云计算 阿里云 敏捷开发 研发敏捷 每日站会

丰富多彩的管理端—主题功能介绍

中原银行

前端 中原银行 主题 管理端工程

资讯|WebRTC M99 更新

网易云信

WebRTC

OpenHarmony技术日全面解读3.1 Release版本 系统基础能力再升级

OpenHarmony开发者

OpenHarmony OpenHarmony 3.1 Release

解析数仓OLAP函数:ROLLUP、CUBE、GROUPING SETS

华为云开发者联盟

Rollup GaussDB(DWS) cube GROUPING SETS OLAP函数

帮助文档——助客户快速了解您的产品如何使用

小炮

帮助文档

阿里云机器学习PAI开源中文NLP算法框架EasyNLP,助力NLP大模型落地

阿里云大数据AI技术

深度学习 nlp 开源技术

圈重点!一图读懂OpenHarmony技术日

OpenHarmony开发者

OpenHarmony 技术日

分享一个JDK批量异步任务工具Completion Service,超好用

华为云开发者联盟

jdk 线程 异步 CompletionService 批量异步任务工具

STM32+华为云IOT制作酒驾监控系统:上车就监控

华为云开发者联盟

mqtt stm32 华为云IoT 酒驾 酒驾监控系统

TiDB 查询优化及调优系列(二)TiDB 查询计划简介

PingCAP

TiFlash 源码阅读(一) TiFlash 存储层概览

PingCAP

考试试卷存储方案

小虾米

架构实战营

vue2.x版本中Object.defineProperty对象属性监听和关联

程序猿布欧

JavaScript Vue vuejs 数据响应式原理 Javascript框架

IOS技术分享| ARCallPlus 开源项目(二)

anyRTC开发者

ios 开源 音视频 移动开发 呼叫邀请

为什么 Rust 是 Stack Overflow 最受欢迎语言?

非凸科技

c++ rust 性能 Stack Overflow 内存安全

毕业总结

孙强

#架构实战营

【直播回顾】OpenHarmony知识赋能第五期第一课——精益开源

OpenHarmony开发者

OpenHarmony 成长计划

如何完成与龙蜥操作系统的兼容验证,看这里! | 一周动态

OpenAnolis小助手

操作系统 龙蜥社区 一周动态

得物技术浅谈深入浅出的Redis分布式锁

得物技术

redis 分布式 分布式锁 CAP 一致性

把pinpoint编译环境做成Docker镜像文件

程序员欣宸

4月月更

如何写好B端产品的技术方案?

AI架构师汤师爷

SaaS 架构设计 技术方案 B端产品

深入微服务-SpringCloud调用组件Feign

janyxe

spring Spring Cloud Feign OpenFegin

数千个Amazon EBS被暴露,大量敏感数据可能外泄_数据库_赵钰莹_InfoQ精选文章