公開公開的亞馬遜雲服務公開用戶數據

已發現託管在亞馬遜雲科技關係資料庫服務 （RDS） 上的數千個資料庫洩露了個人身份資訊，可能為威脅參與者提供金礦。

公開由 Amazon RDS 的快照功能提供，該功能用於備份託管資料庫。使用者可以使用此功能與應用程式共用公共數據或範本資料庫，以及創建公共 RDS 快照進行共用，而無需處理角色和策略。

姓名、電子郵件地址、電話號碼、出生日期、密碼、信用卡詳細資訊、代幣、婚姻狀況、汽車租賃資訊，甚至公司登錄資訊都被洩露，所有這些都可以被駭客使用。

從 2022 年 9 月 21 日至 2022 年 10 月 20 日進行研究的以色列公司 Mitiga 表示，它發現了 810 張公開共用的快照，時長從幾個小時到幾周不等，使它們容易受到惡意行為者的濫用。

為了演示威脅參與者如何訪問數據，研究人員創建了一個AWS原生技術，該技術使用AWS Lambda Step Function和boto3（Python軟體開發工具包）大規模掃描，克隆和提取RDS快照中的敏感資訊。

研究人員隨後觀察了2，783張RDS快照，其中810張是公開的。此外，2，783 個快照中的 1，859 個暴露了一到兩天，讓攻擊者有足夠的時間輕鬆獲取它們。

但是，Mitiga指出，AWS不應該受到責備，因為AWS不僅使RDS使用者瞭解公開暴露的快照，而且還提供了AWS Trusted Advisor等工具，該工具可檢測安全問題並建議補救措施。

“我們認為假設最壞的情況並不為過 - 當您在短時間內公開快照時，有人可能會獲得該快照的元數據和內容。因此，對於您的公司，更重要的是，對於您客戶的隱私 - 如果您不是100%確定快照的內容或元數據中沒有敏感數據，請不要這樣做，“Mitiga研究人員說。

這篇文章的來源包括 SCMagazine上的一篇文章。

總結

文章名稱

公開公開的亞馬遜雲服務公開用戶數據

描述

已發現託管在亞馬遜雲科技關係資料庫服務 （RDS） 上的數千個資料庫正在洩露用戶數據。

作者

奧班拉

發行者名稱

燕尾服護理

發行者徽標