天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 云计算>头条发文>亚马逊AWS S3 Bucket再出事

亚马逊AWS S3 Bucket再出事 GoDaddy数据被泄露

天极网云计算频道 2018. 08. 13 作者:骨傲天 责编:万佳
我要吐槽

责任编辑

  据外媒报道,UpGuard网络安全公司的专家披露,另一家大公司成为数据泄露的受害者,它就是域名注册服务商和网站托管公司——GoDaddy。

亚马逊AWS S3 Bucket再出事 GoDaddy数据被泄露

  UpGuard网络安全公司的风险分析员Chris Vickery发现:一个不安全的GoDaddy的亚马逊S3 bucket,其中包含与31000多个GoDaddy系统相关的敏感信息。

  UpGuard在其博客中写道,“UpGuard网络风险团队发现并保护了一些数据公开的文档,这些文档似乎描述了在亚马逊AWS云中运行的GoDaddy基础架构,从而防止这些信息未来被利用。”

亚马逊AWS S3 Bucket再出事 GoDaddy数据被泄露

  根据亚马逊的一份声明,这些文件在一个公开可访问的亚马逊S3 bucket中被暴露,它由AWS 销售人员创建。

  这名专家在2018年6月19日发现名为“abbottgodaddy”不安全的AWS bucket,它包含了几个版本的电子表格,最新的一个名为“GDDY_cloud_master_data_1205 (AWS r10).xlsx”。

  该文档是一个17MB的微软Excel文件,包含多个工作表和数万行内容。每张表都包含与亚马逊AWS云中运行的大型基础架构相关的数据,例如公司系统的“高级配置信息”。

亚马逊AWS S3 Bucket再出事 GoDaddy数据被泄露

  “被暴露的公开配置信息包括主机名、操作系统、工作负载、AWS区域、内存CPU规格等字段。”这篇博客继续写道。

  “从本质上讲,这些数据映射了一个非常大规模的AWS云基础架构部署,在各个系统上有41个不同的列,以及有关总计、平均值和其他计算字段的汇总和建模数据。同时,还包括GoDaddy从亚马逊AWS获得的折扣,一般是双方的限制信息。”

  专家们指出,GoDaddy基础设施配置信息的可用性可以让攻击者根据角色、可能的数据、大小和区域,从而选择攻击目标。

  同时,竞争对手、供应商、云提供商和其他人也可以使用在不安全的亚马逊S3 bucket中公开的业务数据作为云托管策略和定价的竞争优势。

亚马逊AWS S3 Bucket再出事 GoDaddy数据被泄露

  “从像GoDaddy和亚马逊那样的大型运营,到中小型组织,如果操作意识和流程无法跟上节奏并修复错误配置,任何使用云技术的人都会面临无意识暴露的风险。”UpGuard总结道。

  亚马逊发言人表示,“这个bucket是由AWS销售人员创建的,用于在与客户合作时存储预期的AWS定价方案。并没有GoDaddy客户信息被暴露。虽然默认情况下亚马逊S3 是安全的,并且bucket访问权限仅限于默认配置下的账户所有者和root管理员,但销售人员并未遵循此特定bucket的AWS最佳做法。”

  目前,对AWS用户来说,配置错误的亚马逊AWS S3 bucket已经成为一个太常见的问题,正成为许多安全研究人员关注的对象。

  根据安全公司 Skyhigh Networks 的统计数据显示,7%的 Amazon S3 bucket 都未做公开访问的限制,35%的 bucket 都未做加密,这意味着整个 Amazon S3 服务器中都普遍存在这样的问题。

  而在2个月前,本田汽车印度公司把超过50000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。据悉,这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。

作者:骨傲天责任编辑:万佳)
请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
办公软件IT新闻整机