不只是AmazonS3(AmazonSimpleStorageService)含有配置不当造成资料外泄的问题,安全业者BishopFox上周警告,AmazonElasticBlockStore(AmazonEBS)在快照功能(Snapshots)上的配置不当,也会让企业的机密资料全都曝光。
AmazonEBS为一高效能区块储存服务,专门用来存放AmazonEC2执行个体的持久性资料,而快照则是用来备份AmazonEBS,多半是备份档案系统或大型资料库等重要任务。
不过,BishopFox的安全研究人员BenMorris发现,有许多企业的云端管理员在使用AmazonEBS的快照功能时,不小心在配置设定上,将快照设为公开且未加密。
于是Morris打造了一个工具,利用Amazon的内部搜索功能查询这些公开的EBS快照,然后把它们复制到自己的系统上。他光是在单一区域就找到了数十个公开快照,这些快照中存放了程序原始码、加密金钥、密码、认证令牌、个人识别资料、VPN配置,甚至是根凭证,快照的主人有些是政府的承包商,还有大型科技企业或IoT公司。
Morris向TechCrunch透露,他估计在Amazon的所有云端区域中,应该有1,250个AmazonEBS快照曝光。
Morris说,此一瑕疵的独特性在于那些虚拟硬盘被复制、或是凭证与原始码被盗走的企业完全无从察觉,他复制这些硬盘长达好几周的时间,却一直没有人发现。
TechCrunch则引述Amazon的回应指出,他们已通知那些将AmazonEBS快照设为公开的客户,建议那些不小心配置错误的客户尽快关闭快照。
免责声明:本文章如果文章侵权,请联系我们处理,本站仅提供信息存储空间服务如因作品内容、版权和其他问题请于本站联系