示意圖(Photo by Good Free Photos(https://www.goodfreephotos.com/vector-images/cloud-security-vector-clipart.png.php))
不只是Amazon S3(Amazon Simple Storage Service)含有配置不當造成資料外洩的問題,資安業者Bishop Fox上周警告,Amazon Elastic Block Store(Amazon EBS)在快照功能(Snapshots)上的配置不當,也會讓企業的機密資訊全都曝光。
Amazon EBS為一高效能區塊儲存服務,專門用來存放Amazon EC2執行個體的持久性資料,而快照則是用來備份Amazon EBS,多半是備份檔案系統或大型資料庫等重要任務。
不過,Bishop Fox的安全研究人員Ben Morris發現,有許多企業的雲端管理員在使用Amazon EBS的快照功能時,不小心在配置設定上,將快照設為公開且未加密。
於是Morris打造了一個工具,利用Amazon的內部搜尋功能查詢這些公開的EBS快照,然後把它們複製到自己的系統上。他光是在單一區域就找到了數十個公開快照,這些快照中存放了程式原始碼、加密金鑰、密碼、認證令牌、個人識別資訊、VPN配置,甚至是根憑證,快照的主人有些是政府的承包商,還有大型科技企業或IoT公司。
Morris向TechCrunch透露,他估計在Amazon的所有雲端區域中,應該有1,250個Amazon EBS快照曝光。
Morris說,此一瑕疵的獨特性在於那些虛擬硬碟被複製、或是憑證與原始碼被盜走的企業完全無從察覺,他複製這些硬碟長達好幾周的時間,卻一直沒有人發現。
TechCrunch則引述Amazon的回應指出,他們已通知那些將Amazon EBS快照設為公開的客戶,建議那些不小心配置錯誤的客戶儘快關閉快照。
線