AWS S3配置不當又一樁，數十萬美國選民的個資曝光

Kromtech Security的安全研究人員Bob Diachenko本周再度發現配置不當的AWS S3儲存貯體，這次的始作俑者是美國專門提供政治競選活動電話語音行銷服務的Robocent，Diachenko在Robocent的AWS S3儲存貯體中找到了數十萬筆的美國選民資料。

Amazon S3的全名為Amazon Simple Storage Service，允許客戶透過Web介面來存放及擷取各種類型的資料，並根據所使用的空間、流量與請求數量來計費，但近來頻傳Amazon S3因不當的配置而造成資料外洩的意外。

Diachenko是利用免費的GrayhatWarfare來搜尋Amazon S3的公開資料庫，以「voters」為關鍵字找到了Robocent的儲存貯體，該儲存空間存放了2,594個檔案，包含各種政治行銷的語音檔，以及選民資料，包括選民的全名、電話號碼、住家地址、政治傾向、年紀、性別或教育程度等。

從去年迄今，因Amazon S3配置不當而造成資料外洩的意外已不勝枚舉，諸如2億美國選民資料、600萬Verizon用戶資料、400萬時代華納用戶資料，還有隸屬於美國國防部的網路監控資料與機密資訊。

安全專家分析，最常見的Amazon S3配置疏失為存取控制名單（Access Control Lists）的設定，把AuthenticatedUsers選項誤以為是具備嚴格限制的存取政策，但事實上該選項卻是允許全球所有具備AWS帳號的使用都能存取該儲存貯體。

另一個值得注意的是代號為GrayhatWarfare的軟體工程師在今年7月所設立的同名網站，該站列出了Amazon S3上所有公開的儲存貯體，而且還搭配了搜尋功能，這些公開的儲存貯體有些可能是故意公開，有些則是因配置錯誤才曝光。

GrayhatWarfare說，過去他經常建置各種能夠大規模掃描漏洞的工具，只是為了確認是否可行，卻從未公諸於世，讓他覺得自己是在浪費時間，這次他決定透過GrayhatWarfare展現自己的成果。

7月上旬時GrayhatWarfare網站所陳列的S3公開儲存貯體有7萬個，現在則只剩4.8萬個，想必該服務提醒了不少Amazon S3用戶。