《Disney +》 迪士尼、Marvel、彼思、星球大戰…  《Project Eve》時尚動作新樣貌   當一個最潮的玩家吧!「電競耳骨夾」誕生!   看《Tchia》裡的「靈魂附身」如何讓你大玩變身   《戰國無雙5》訪談:光榮特庫摩經典系列的進化   [速報]《任天堂明星大亂鬥特別版》 的最後一位鬥士是《王國之心》系列Sora!   《GUILTY GEAR -STRIVE-》發售前發布showcase!公開首次曝光影片與時間表!   「東京電玩展2021 Online」KONAMI特設網站開幕!   《漫威星際異攻隊》服裝包羅萬象,新穎和經典齊備 

亞馬遜雲服務中不少保密文件設置公開,請善用雲服務

商業
amazon web services 亞馬遜雲的簡單存儲服務“Amazon Simple Storage Service”(S3)有很多企業和開發者在使用,卻不重視存儲於雲中文件的安全。 很多企業使用亞馬遜S3 來存儲服務器備份、公司文檔、網頁記錄、公開可見內容比如網站圖片、PDF 文件等。存儲於S3 中的文件被組織整理為文件桶“bucket”。 所有人都可以看到公開文件桶的目錄,而私有文件桶只允許特定帳號查看。也就是說,一個公開文件桶麵向所有人公開其內所有文件、文件夾的名錄。 想要判斷一個文件桶是公開還是私有非常簡單。 用戶訪問文件桶的路徑如下: http://s3.amazonaws.com/[bucket_name]/ http://[bucket_name].s3.amazonaws.com/ 你只要能通過這樣的地址訪問文件桶,能夠看到文件桶目錄,就說明這個文件桶是公開的。公開文件桶會列出其存儲的最新的一千個文件。 私有文件桶卻會回复你“訪問被拒絕”。 雖然公開文件桶的單個文件可以被鎖定,但文件即使被鎖定拒絕陌生人下載查看,僅僅是目錄中暴露的文件名、文件建立時間等已經可以暴露很多信息,比如顧客名單、文件備份所用時間等。 網絡安全網站Net-Security測試了亞馬遜S3 服務的12328 個文件桶,其中公開文件桶1951 個,私有文件桶10377 個。公開文件桶的比例很高,約佔六分之一。 從這近兩千個共有文件桶中收集到超過1260 億個文件名錄,由於數量太多,測試者無法一一測試這些文件是否可以下載,最後選擇隨機取樣。測試者取樣了超過四萬個公開可見的文件,很多都可以下載,而且內容敏感。 測試者總結了一些典型的毫不設防的數據:
  1. 來自某中型社交媒體服務的私人照片;
  2. 某大型汽車交易商的銷售記錄和賬戶信息;
  3. 某廣告公司客戶們的廣告追踪數據、點擊率、賬戶信息;
  4. 很多公司的僱員個人信息,公司成員列表;
  5. 網站數據和加密用戶登錄密碼的備份數據庫;
  6. 某移動遊戲公司的遊戲源代碼和開發工具;
  7. PHP 源代碼,含設置文件,也就是含用戶名和密碼;
  8. 某大型軟件經銷商的銷售資源。
很多數據都很有可能引來黑客攻擊,被非法獲取後出售於黑市。 大多可公開看到目錄的文件是圖片,約有60%,很多都鎖定不可訪問,但也有一些社交媒體網站將其用戶圖片和視頻暴露給所有訪問者。 此外,還有大約五百萬的文本文檔,很多被標記為“保密”或者“私人所有”,卻沒有得到應有的保護。 來源:Net-Security 轉載網站  

別再錯過TechNow的文章,今天就訂閱「TechNow電子報

TechNow 當代科技

隨機商業新聞

Disney+