在2017年的过程中,安全研究人员一次又一次地发现了可公开访问的Amazon S3云存储实例上的个人身份信息。最新配置错误的云数据存储公司是数据分析公司Alteryx,该公司在12月19日由安全公司UpGuard报告的数据泄漏中暴露了1.23亿美国家庭的信息。
“在存储库中公开了属于Alteryx合作伙伴Experian,消费者信用报告机构以及美国人口普查局的海量数据集,这些数据集提供了Experian和2010年美国人口普查的数据集,”网络弹性分析师Dan O'Sullivan在UpGuard的博客文章中写道。“虽然人口普查数据完全由可公开访问的统计信息组成,但益百利的ConsumerView营销数据库(出售给其他企业的产品)包含公共细节和更敏感的数据。”
网络风险研究部UpGuard总监Chris Vickery发现了配置错误的Amazon S3存储实例,后者将该问题报告给了Alteryx,以便可以解决。
Vickery和他在UpGuard的团队在2017年期间报告了许多类似的实例,这些实例配置不正确的Amazon S3存储实例。7月12日,UpGuard报告说,有关600万Verizon客户的信息被暴露在云服务器上。10月10日,该公司透露埃森哲已在S3上公开提供了一些数据。
最近,11月17日,UpGuard 报告说,它发现了可公开访问的S3存储,其中包括来自CENTCOM进行的国防部数据收集活动的信息。该档案库包含了在八年时间内从社交媒体网站和网络论坛收集的18亿个互联网数据帖子。
虽然UpGuard披露的每个事件都有其自己的细微原因,但基本故障是相同的,并且公司使用Amazon S3存储时存在某种形式的权限配置错误。在Alteryx事件中,互联网上的任何人都无法公开访问数据,而是登录AWS的任何人都可以公开访问数据。
O'Sullivan写道:“尽管S3存储桶的默认安全设置将仅允许经过特殊授权的用户访问内容,但该存储桶是通过权限设置配置的,以允许任何AWS'Authenticated Users'下载其存储的数据,” O'Sullivan写道。“实际上,AWS的“已认证用户”是拥有Amazon AWS账户的任何用户。”
组织如何保护Amazon S3存储桶
由于UpGuard和其他公司透露了S3数据泄漏事件,亚马逊网络服务在2017年并没有袖手旁观。使用AWS提供的工具和服务,S3用户可以安全地将数据存储在云中。
AWS现在提供的工具中包括8月14日宣布的Macie机器学习服务。借助Macie,组织可以扫描其S3实例并确定是否存在任何个人身份信息。2017年,AWS Config服务也得到了改进,其中包含新规则,使组织能够阻止对S3存储实例的公共读写。AWS Config提供了云服务的策略和配置设置。
此外,截至11月8日,通过加密保护S3数据也比以往任何时候都容易。S3现在包括一个策略选项,可以确保默认情况下对存储桶中的所有对象进行加密。如果不对S3存储桶进行加密,则如果数据泄漏,攻击者将拥有对所有未加密数据的完全访问权限。使用加密,即使发生数据泄露或泄漏,攻击者也无法立即使用这些数据。
毫无疑问,UpGuard和其他安全研究人员将在接下来的几个月中找到其他将数据暴露在Amazon S3中的组织。这并不意味着云并不安全。如果组织使用Amazon提供的工具,将S3存储配置为最低特权并使用加密,那么云数据泄漏已成为过去已成为历史。
