写点什么

数千个 Amazon EBS 被暴露,大量敏感数据可能外泄

  • 2019-08-12
  • 本文字数:1010 字

    阅读完需:约 3 分钟

数千个Amazon EBS被暴露,大量敏感数据可能外泄

根据本届Def Con安全大会上公布的最新数据显示,不少公司、初创企业及政府机关无意中将内部文件泄露至云端。大部分开发者应该听过暴露在公共互联网上的 S3 存储桶,这些由亚马逊负责托管的存储服务器往往由于客户配置错误而不慎开放。一旦将其设置为“公开”,任何人都能够查看其中的敏感数据。但是,开发者可能还不太熟悉暴露的 EBS 快照,其很可能带来更高的安全风险。

事件回溯

网络安全厂商 Bishop Fox 公司高级安全分析师 Ben Morris 在 Def Con 会前的采访中表示,这些弹性块存储(EBS)快照保存着来自云应用程序的全部数据,存放着应用程序密钥,也承载着能够访问客户信息的数据库。


他同时指出:“在丢弃计算机磁盘时,大家都知道应该将其全部清空或者彻底销毁,但与之同样重要,甚至更为重要的 EBS 存储卷却被留在网上供人们随意查看。”

云管理员配置不当

Morris 表示,很多云管理员并没有选择正确的配置选项,并导致 EBS 快照以未加密的形式不慎公开。“这意味着能够上网的任何人都可以下载磁盘内容,并将其接入自己控制的设备当中,而后从中搜索一切本应得到严格保护的秘密。”


利用亚马逊提供的内部搜索功能,Morris 构建了一款工具用于查询并抓取公开暴露的 EBS 快照。他发现,单一区域内暴露的公开快照多达几十个,其中承载着应用程序密钥、关键用户或管理凭证、源代码等。他还从中看到几家大型企业的名字,包括医疗保健供应商以及科技公司等。


他估计,全部亚马逊云区域之上暴露的快照总量可能多达 1250 个。亚马逊方面的一位发言人称,该公司已经将消息通报至将 EBS 快照设置为公开的客户。“如果确实是无意中使用了这一设置,建议尽快撤销。”


Morris 计划在未来几周内公布自己的概念验证代码。“我会给各家企业留几周时间检查自己的磁盘,确保他们及时解决意外暴露问题。”

误操作导致的安全问题

在云计算环境下,企业经常会因为误操作或者配置不当造成数据泄漏。各大云计算平台基本都提供类似的功能,例如服务器有快照,数据库和日志有备份等。这些功能都“实用性”地提供了解决方案,并且比自己构建类似服务要简单好用,但很多企业为了节省成本可能并未接受云厂商的建议,此时就需要依靠企业自身的技术能力。


其次是权限问题,云平台的账户权限管理严格避免无意或者恶意的误操作,就像传统环境下,如果 root 口令全公司都知道,那么出了事情也不奇怪。


最后,通过堡垒机或者云平台自带的审计功能,至少知道发生故障时干了什么,怎么干的,这样恢复环境比较容易。


2019-08-12 15:5111484
用户头像
赵钰莹 极客邦科技 总编辑

发布了 884 篇内容, 共 651.8 次阅读, 收获喜欢 2680 次。

关注

评论

发布
暂无评论
发现更多内容

StudioOne6免费试用版下载及版本功能介绍

茶色酒

StudioOne6 StudioOne

冰河指南AI技术社区基于ChatGPT正式启动运营

冰河

人工智能 程序员 AI 架构师 ChatGPT

6 理解业务概念和业务组件

涛哥 数字产品和业务架构

企业架构 业务架构

Guitar Pro8吉他软件最新版安装下载教程

茶色酒

Guitar Pro8

【Unity 3D游戏开发】在Unity使用NoSQL数据库方法介绍

3DCAT实时渲染

Unity Unity3D 游戏开发引擎

嵌入式ARM设计编程(四) ARM启动过程控制

timerring

FPGA

追光进行时:沿着全光运力的新航道,加速驶向算力时代

脑极体

算力

房产|1月全国70城房价出炉!疫情放开后你关心的城市房价有何变化

前嗅大数据

大数据 数据分析 房产

华为游戏中心花瓣游戏开发者服务持续升级,赋能高效研运

最新动态

架构实战营模块9作业

张建闯

架构实战营

聊聊如何利用redis实现多级缓存同步

做梦都在改BUG

Java redis 缓存 多级缓存

接口调试时如何请求一个需要登录才能访问的接口

代码没有BUG

接口调试 API测试 apipost

2023-02-17:sdl是跨平台的多媒体开发库,请问用go语言如何调用?

福大大架构师每日一题

golang 音视频 SDL 流媒体 福大大

Java高手速成 | Java web 实训之投票系统

TiAmo

Java Java web

云原生的基建:我理解的可观测性和OpenTelemetry

agnostic

可观测性 OpenTelemetry

2023年中国直播电商发展洞察

易观分析

零售 直播 电商

CorelDRAW Graphics Suite2023最新版本号

茶色酒

CorelDRAW 2022 CorelDraw2023

嵌入式ARM设计编程(五) 实现信号的FIR滤波操作

timerring

arm

Migrate your data into databend with DataX

Databend

「 Java基础-对象 」一篇文章讲清楚Java开发中如何更优雅的创建对象

小刘学编程

Java Builder 序列化 对象创建 new

户外交通信息led显示屏有以下特点才正规

Dylan

安装 LED显示屏 户外LED显示屏

SpringBoot 容器刷新前回调ApplicationContextInitializer

做梦都在改BUG

Java spring Spring Boot

一款好的低代码开发平台应该是什么样?

YonBuilder低代码开发平台

CleanMyMac2023电脑版免费下载教程

茶色酒

CleanMyMac X2023

CleanMyMac2023测试版功能介绍

茶色酒

CleanMyMac X CleanMyMac X2023

Teradata退出中国背后:云数仓成为行业主流发展趋势

酷克数据HashData

Pandoc API 上手指南

小 he

chatGPT:探讨如何实现自动化测试场景

夏兮。

自动化测试 selenium ChatGPT

关于工具软件:Apipost和Apifox哪个更好用看这篇就够了

代码没有BUG

Apifox 接口调试 API测试 apipost

虚幻引擎UE4如何实现打包后播放片头?其实超简单!

3DCAT实时渲染

虚幻引擎 ue

今年很火的AI绘画怎么玩

得物技术

数千个Amazon EBS被暴露,大量敏感数据可能外泄_数据库_赵钰莹_InfoQ精选文章