数百个暴露的亚马逊云备份发现泄漏敏感数据

 
你的秘密有多安全?如果您使用了Amazon的Elastic Block Storage快照，则可能需要检查设置。
刚刚在Def Con安全会议上发布的新研究揭示了公司，初创公司和政府如何无意中从云中泄露自己的文件。
您可能听说过暴露的S3存储桶 – 那些亚马逊托管的存储服务器，其中包含客户数据但经常配置错误，并且无意中设置为“公共”以供任何人访问。但是，您可能没有听说过暴露的EBS快照，这会带来尽可能多的风险。
这些弹性块存储(EBS)快照是“王国的关键”，网络安全公司Bishop Fox的高级安全分析师Ben Morris在与他的Def Con谈话之前与TechCrunch的电话会议上说。 EBS快照存储云应用程序的所有数据。 “他们拥有应用程序的密钥，他们可以访问客户的信息，”他说。
“当你摆脱计算机的硬盘时，你知道，你通常会将其彻底撕碎或擦拭，”他说。 “但这些公共EBS卷只留给任何人采取并开始戳。”
他说，云管理员经常不选择正确的配置设置，使EBS快照无意中公开和未加密。 “这意味着互联网上的任何人都可以下载你的硬盘并将其启动，将其连接到他们控制的机器上，然后开始通过磁盘搜索任何类型的秘密，”他说。
Morris使用亚马逊自己的内部搜索功能构建了一个工具，用于查询和抓取公开暴露的EBS快照，然后附加它，制作副本并列出其系统上卷的内容。
“如果你将磁盘曝光几分钟，我们的系统就会把它拿起并复制一份，”他说。
他用了两个月的时间建立了一个暴露数据数据库，花了几百美元用于亚马逊云资源。一旦他验证了每个快照，他就会删除数据。
他说，莫里斯在一个地区发现了几十个公开的快照，包括应用程序密钥，关键用户或管理凭据，源代码等等。他找到了几家大公司，包括医疗保健提供商和科技公司。
他还发现了VPN配置，他说这可以让他进入企业网络。莫里斯说他没有使用任何凭据或敏感数据，因为这将是非法的。
在他发现的最具破坏性的事情中，莫里斯说，他找到了一个政府承包商的快照，他没有透露姓名，但为联邦机构提供了数据存储服务。 “在他们的网站上，他们吹嘘自己持有这些数据，”他说，指的是从所谓的伊斯兰国家恐怖组织发送的信息中收集的情报，以及有关边境口岸的数据。
“这些是我绝对不希望暴露在公共互联网上的东西，”他说。
他估计所有亚马逊云地区的数字可能多达1,250次。
莫里斯计划在未来几周内发布他的概念证明代码。
“我给公司几个星期的时间来通过他们自己的磁盘，并确保他们没有任何意外曝光，”他说。