亞馬遜雲的簡單存儲服務“Amazon Simple Storage Service”(S3)有很多企業和開發者在使用,卻不重視存儲於雲中文件的安全。
很多企業使用亞馬遜S3 來存儲服務器備份、公司文檔、網頁記錄、公開可見內容比如網站圖片、PDF 文件等。存儲於S3 中的文件被組織整理為文件桶“bucket”。
所有人都可以看到公開文件桶的目錄,而私有文件桶只允許特定帳號查看。也就是說,一個公開文件桶麵向所有人公開其內所有文件、文件夾的名錄。
想要判斷一個文件桶是公開還是私有非常簡單。
用戶訪問文件桶的路徑如下:
http://s3.amazonaws.com/[bucket_name]/
http://[bucket_name].s3.amazonaws.com/
你只要能通過這樣的地址訪問文件桶,能夠看到文件桶目錄,就說明這個文件桶是公開的。公開文件桶會列出其存儲的最新的一千個文件。
私有文件桶卻會回复你“訪問被拒絕”。
雖然公開文件桶的單個文件可以被鎖定,但文件即使被鎖定拒絕陌生人下載查看,僅僅是目錄中暴露的文件名、文件建立時間等已經可以暴露很多信息,比如顧客名單、文件備份所用時間等。
網絡安全網站Net-Security測試了亞馬遜S3 服務的12328 個文件桶,其中公開文件桶1951 個,私有文件桶10377 個。公開文件桶的比例很高,約佔六分之一。
從這近兩千個共有文件桶中收集到超過1260 億個文件名錄,由於數量太多,測試者無法一一測試這些文件是否可以下載,最後選擇隨機取樣。測試者取樣了超過四萬個公開可見的文件,很多都可以下載,而且內容敏感。
測試者總結了一些典型的毫不設防的數據:
- 來自某中型社交媒體服務的私人照片;
- 某大型汽車交易商的銷售記錄和賬戶信息;
- 某廣告公司客戶們的廣告追踪數據、點擊率、賬戶信息;
- 很多公司的僱員個人信息,公司成員列表;
- 網站數據和加密用戶登錄密碼的備份數據庫;
- 某移動遊戲公司的遊戲源代碼和開發工具;
- PHP 源代碼,含設置文件,也就是含用戶名和密碼;
- 某大型軟件經銷商的銷售資源。
很多數據都很有可能引來黑客攻擊,被非法獲取後出售於黑市。
大多可公開看到目錄的文件是圖片,約有60%,很多都鎖定不可訪問,但也有一些社交媒體網站將其用戶圖片和視頻暴露給所有訪問者。
此外,還有大約五百萬的文本文檔,很多被標記為“保密”或者“私人所有”,卻沒有得到應有的保護。
來源:
Net-Security
轉載網站
