130万用户信息遭泄露 原因竟是亚马逊S3 bucket出问题

  亚马逊AWS S3 “bucket”又被曝出安全问题了!

  一个有关亚马逊AWS S3 “bucket”的新案例在网上公开，此时属于沃尔玛珠宝合作伙伴MBM公司130万客户的个人数据已经曝光。

  今年2月，来自Kromtech Security公司的专家发现了一个名为“walmartsql”的亚马逊S3 “bucket”，其中包含一个名为MBMWEB_backup_2018_01_13_003008_2864410.bak的MSSQL数据库备份。

  这个名称表明，该备份自从2018年2月23日起已经“公之于众”，档案中包含的一些记录历史可追溯到2000年。

  这份档案包括姓名、地址、邮政编码、电话号码、电子邮件地址、IP地址，大多数都是MBM公司的纯文本密码。同时，它也涵盖了MBM公司内部邮件列表、加密信用卡详细记录、支付详情、促销代码和项目订单。

  “2018年2月6日，Kromtech公司的研究者碰到了另一个公开的亚马逊S3 ‘bucket‘。它包含了一个MSSQL的数据库备份，里面居然有很多个人信息，包括姓名、地址、邮政编码、电话号码、电子邮件地址、IP地址。然而，更令人震惊地是，纯文本密码，有来自美国和加拿大130万人的购物账户，”Kromtech在博客中写道。

  “第一眼看上去，数据似乎属于沃尔玛，因为存储‘bucket’被命名为‘walmartsql’，但经过Kromtech研究人员的进一步调查，发现其中的MSSQL数据库备份实际上属于MBM公司，这是一家位于芝加哥的珠宝公司。”

  毫无疑问，这是另一个糟糕的安全案例，IT人员管理档案的时候，通过一个不安全的亚马逊S3”bucket”把备份暴露于网上，同时，他们也没有采取一些措施来保护数据库里的存储信息。

  “密码存储在纯文本上，这是很大的疏忽，考虑到许多用户重复使用多账户密码的问题，包括邮件账户，”Kromtech通讯主管Bob Diachenko说。

  Kromtech专家告知了沃尔玛已公开的亚马逊S3 “bucket”，该公司迅速提升了存储“bucket”的安全性，但无法对MBM公司发表评论。

  实际上，对于亚马逊S3“bucket”出现的问题，已经不是一次两次了。之前，就曾出现过亚马逊S3 “bucket”配置错误，被网络犯罪分子抓住时机进行勒索攻击，像去年发生的MongDB实例事件。

  根据安全公司 Skyhigh Networks 的统计数据显示，7%的 Amazon S3 bucket 都未做公开访问的限制，35%的 bucket 都未做加密，这意味着整个 Amazon S3 服务器中都普遍存在这样的问题。

  结果是，很多公司发生了数据泄露事件，包括包括威瑞森、NSA、the US Military、法国市场公司Octoly和分析公司Alteryx，甚至包括来自全球最大征信机构Experian和美国人口普查局的数据。