기술 지원
문서
로그인
문의하기
공개적으로 노출된 Amazon 클라우드 서비스는 사용자 데이터를 노출합니다.
오반라 오페예미
2022년 11월 30일 TuxCare 전문가 팀
아마존 웹 서비스 관계형 데이터베이스 서비스(RDS)에서 호스팅되는 수천 개의 데이터베이스에서 개인 식별 정보가 유출되어 잠재적으로 위협 행위자에게 금광을 제공할 수 있는 것으로 밝혀졌습니다.
노출은 호스팅된 데이터베이스를 백업하는 데 사용되는 Amazon RDS의 스냅샷 기능에 의해 제공됩니다. 사용자는 이 기능을 사용하여 공용 데이터 또는 템플릿 데이터베이스를 애플리케이션과 공유할 수 있을 뿐만 아니라 역할 및 정책을 처리하지 않고도 공유할 수 있는 공용 RDS 스냅샷을 만들 수 있습니다.
이름, 이메일 주소, 전화번호, 생년월일, 비밀번호, 신용카드 정보, 토큰, 결혼 여부, 렌터카 정보, 심지어 회사 로그인 정보까지 유출되었으며, 이 모든 정보는 해커가 사용할 수 있습니다.
2022년 9월 21일부터 2022년 10월 20일까지 연구를 수행한 이스라엘 회사인 Mitiga는 몇 시간에서 몇 주까지 다양한 기간 동안 공개적으로 공유된 810개의 스냅샷을 발견했으며, 악의적인 공격자의 악용에 취약하다고 말했습니다.
위협 행위자가 어떻게 데이터에 액세스할 수 있는지 보여주기 위해 연구원들은 AWS 람다 스텝 함수와 Python 소프트웨어 개발 키트인 boto3를 사용하여 RDS 스냅샷에서 민감한 정보를 대규모로 스캔, 복제, 추출하는 AWS 네이티브 기술을 만들었습니다.
연구진은 2,783개의 RDS 스냅샷을 관찰했으며, 이 중 810개가 공개적으로 노출되었습니다. 또한 2,783개의 스냅샷 중 1,859개는 1~2일 동안 노출되어 공격자가 쉽게 획득할 수 있는 충분한 시간을 제공했습니다.
그러나 Mitiga는 AWS가 RDS 사용자에게 공개적으로 노출된 스냅샷을 알릴 뿐만 아니라 보안 문제를 감지하고 해결 단계를 권장하는 AWS Trusted Advisor와 같은 도구를 제공하기 때문에 AWS의 책임이 아니라고 지적합니다.
"스냅샷을 단기간 공개하는 경우 누군가 해당 스냅샷의 메타데이터와 콘텐츠를 얻을 수 있다는 최악의 시나리오를 가정해도 과언이 아니라고 생각합니다. 따라서 회사와 더 중요한 고객의 개인 정보 보호를 위해 콘텐츠나 스냅샷의 메타데이터에 민감한 데이터가 없다고 100% 확신할 수 없다면 스냅샷을 공개하지 않는 것이 좋습니다."라고 Mitiga 연구진은 말합니다.
이 글의 출처는 SCMagazine의 기사입니다.
