亞馬遜雲服務中不少保密文件設置公開，請善用雲服務

亞馬遜雲的簡單存儲服務“Amazon Simple Storage Service”（S3）有很多企業和開發者在使用，卻不重視存儲於雲中文件的安全。 很多企業使用亞馬遜S3 來存儲服務器備份、公司文檔、網頁記錄、公開可見內容比如網站圖片、PDF 文件等。存儲於S3 中的文件被組織整理為文件桶“bucket”。 所有人都可以看到公開文件桶的目錄，而私有文件桶只允許特定帳號查看。也就是說，一個公開文件桶麵向所有人公開其內所有文件、文件夾的名錄。 想要判斷一個文件桶是公開還是私有非常簡單。 用戶訪問文件桶的路徑如下： http://s3.amazonaws.com/[bucket_name]/ http://[bucket_name].s3.amazonaws.com/ 你只要能通過這樣的地址訪問文件桶，能夠看到文件桶目錄，就說明這個文件桶是公開的。公開文件桶會列出其存儲的最新的一千個文件。 私有文件桶卻會回复你“訪問被拒絕”。 雖然公開文件桶的單個文件可以被鎖定，但文件即使被鎖定拒絕陌生人下載查看，僅僅是目錄中暴露的文件名、文件建立時間等已經可以暴露很多信息，比如顧客名單、文件備份所用時間等。 網絡安全網站Net-Security測試了亞馬遜S3 服務的12328 個文件桶，其中公開文件桶1951 個，私有文件桶10377 個。公開文件桶的比例很高，約佔六分之一。 從這近兩千個共有文件桶中收集到超過1260 億個文件名錄，由於數量太多，測試者無法一一測試這些文件是否可以下載，最後選擇隨機取樣。測試者取樣了超過四萬個公開可見的文件，很多都可以下載，而且內容敏感。 測試者總結了一些典型的毫不設防的數據：

1. 來自某中型社交媒體服務的私人照片；
2. 某大型汽車交易商的銷售記錄和賬戶信息；
3. 某廣告公司客戶們的廣告追踪數據、點擊率、賬戶信息；
4. 很多公司的僱員個人信息，公司成員列表；
5. 網站數據和加密用戶登錄密碼的備份數據庫；
6. 某移動遊戲公司的遊戲源代碼和開發工具；
7. PHP 源代碼，含設置文件，也就是含用戶名和密碼；
8. 某大型軟件經銷商的銷售資源。

很多數據都很有可能引來黑客攻擊，被非法獲取後出售於黑市。 大多可公開看到目錄的文件是圖片，約有60%，很多都鎖定不可訪問，但也有一些社交媒體網站將其用戶圖片和視頻暴露給所有訪問者。 此外，還有大約五百萬的文本文檔，很多被標記為“保密”或者“私人所有”，卻沒有得到應有的保護。 來源：Net-Security 轉載網站  

別再錯過TechNow的文章，今天就訂閱「TechNow電子報」