圖片來源: 

Bob Diachenko

Kromtech Security的安全研究人員Bob Diachenko本周再度發現配置不當的AWS S3儲存貯體,這次的始作俑者是美國專門提供政治競選活動電話語音行銷服務的Robocent,Diachenko在Robocent的AWS S3儲存貯體中找到了數十萬筆的美國選民資料。

Amazon S3的全名為Amazon Simple Storage Service,允許客戶透過Web介面來存放及擷取各種類型的資料,並根據所使用的空間、流量與請求數量來計費,但近來頻傳Amazon S3因不當的配置而造成資料外洩的意外。

Diachenko是利用免費的GrayhatWarfare來搜尋Amazon S3的公開資料庫,以「voters」為關鍵字找到了Robocent的儲存貯體,該儲存空間存放了2,594個檔案,包含各種政治行銷的語音檔,以及選民資料,包括選民的全名、電話號碼、住家地址、政治傾向、年紀、性別或教育程度等。

從去年迄今,因Amazon S3配置不當而造成資料外洩的意外已不勝枚舉,諸如2億美國選民資料、600萬Verizon用戶資料、400萬時代華納用戶資料,還有隸屬於美國國防部的網路監控資料機密資訊

安全專家分析,最常見的Amazon S3配置疏失為存取控制名單(Access Control Lists)的設定,把AuthenticatedUsers選項誤以為是具備嚴格限制的存取政策,但事實上該選項卻是允許全球所有具備AWS帳號的使用都能存取該儲存貯體。

另一個值得注意的是代號為GrayhatWarfare的軟體工程師在今年7月所設立的同名網站,該站列出了Amazon S3上所有公開的儲存貯體,而且還搭配了搜尋功能,這些公開的儲存貯體有些可能是故意公開,有些則是因配置錯誤才曝光。

GrayhatWarfare說,過去他經常建置各種能夠大規模掃描漏洞的工具,只是為了確認是否可行,卻從未公諸於世,讓他覺得自己是在浪費時間,這次他決定透過GrayhatWarfare展現自己的成果。

7月上旬時GrayhatWarfare網站所陳列的S3公開儲存貯體有7萬個,現在則只剩4.8萬個,想必該服務提醒了不少Amazon S3用戶。


Advertisement

更多 iThome相關內容