3月11日 云安全廠商 UpGuard 公司網(wǎng)絡(luò)風(fēng)險(xiǎn)小組發(fā)現(xiàn)一批由于 Amazon Web Services(簡(jiǎn)稱AWS)S3存儲(chǔ)桶未受保護(hù)而泄露的50.4 GB數(shù)據(jù)。經(jīng)證實(shí),此AWS存儲(chǔ)桶屬于云商務(wù)智能(簡(jiǎn)稱BI)與分析廠商 Birst 公司。
泄露的哪些數(shù)據(jù)?
這50.4 GB數(shù)據(jù)涉及Birst公司主要客戶Capital One(一家位于弗吉尼亞州麥克萊恩市的金融服務(wù)巨頭,亦為全美第八大商業(yè)銀行),包含 Capital One 網(wǎng)絡(luò)基礎(chǔ)設(shè)施配置信息以及 Birst 公司的設(shè)備技術(shù)信息。
根據(jù) UpGuard 公司發(fā)布的官方博文,這批數(shù)據(jù)當(dāng)中包含密碼、管理訪問憑證以及私鑰,且專供 Birst 公司內(nèi)部云環(huán)境中的 Capital One 相關(guān)系統(tǒng)使用。攻擊者利用這批遭到泄露的數(shù)據(jù)足以掌握 Capital One 對(duì) Birst 設(shè)備的使用方式,進(jìn)而入侵 IT 系統(tǒng)并深入挖掘該公司的內(nèi)部資訊。
數(shù)據(jù)泄露發(fā)現(xiàn)過程
2018年1月15日,UpGuard 公司網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管克里斯·維克里發(fā)現(xiàn)此次泄露的數(shù)據(jù),這批數(shù)據(jù)位于“capitalone-appliance”子域當(dāng)中并允許任何用戶訪問。
維克里發(fā)現(xiàn)其中的一個(gè)文件被標(biāo)記為“Client.key”,內(nèi)容為用于解密數(shù)據(jù)的加密密鑰。這種將密鑰與加密設(shè)備一同存儲(chǔ)的作法,如同將鑰匙和鎖同時(shí)留在公共場(chǎng)所一樣,黑客利用這一點(diǎn)可輕松實(shí)現(xiàn)加密設(shè)備解密。在這批泄露的數(shù)據(jù)中,還包括Birst 公司使用的用戶名及哈希密碼,并且此次事件完整暴露了 Birst 設(shè)備的構(gòu)建方式,攻擊者將能夠在此基礎(chǔ)之上集中精力入侵 Capital One 以及其它更為廣泛的系統(tǒng)。其中最值得關(guān)注的當(dāng)數(shù)用于連接 Birst 各設(shè)備及其它服務(wù)端口位置的商務(wù)智能儀表板。
泄露數(shù)據(jù)并不能被直接利用
但維克里表示,攻擊者首先仍需要入侵 Capital One 的網(wǎng)絡(luò)才能利用此次泄露的憑證以破壞Birst設(shè)備。而此次云數(shù)據(jù)泄露本身并不涉及任何存儲(chǔ)在其它系統(tǒng)當(dāng)中的私有信息。另一方面,香港服務(wù)器租用,此次泄露事故所影響到的是已經(jīng)成功的攻擊活動(dòng),無論是通過釣魚攻擊、惡意軟件、社交工程抑或是內(nèi)部人員威脅,只要能夠完成初步入侵,攻擊方即可借此造成災(zāi)難性的潛在影響。
加密貨幣盛行之時(shí),亞洲服務(wù)器租用 歐洲服務(wù)器,公開 AWS 存儲(chǔ)桶如今亦可被用于進(jìn)行加密貨幣挖掘。近日,特斯拉公司的 Amazon 帳戶就遭遇黑客入侵并被用于進(jìn)行門羅幣采礦。此次事件還暴露出特斯拉方面在 Amazon S3 存儲(chǔ)桶中存儲(chǔ)敏感數(shù)據(jù)的事件。
此外,2018年2月24日亦有研究人員發(fā)現(xiàn)某個(gè)屬于《洛杉磯時(shí)報(bào)》的 Amazn S3 存儲(chǔ)桶。黑客利用該存儲(chǔ)桶的配置錯(cuò)誤通過CoinHive 的 JavaScript 代碼挖掘門羅幣。在該代碼的幫助下,黑客得以使用《洛杉磯時(shí)報(bào)》網(wǎng)站訪問者的計(jì)算機(jī)資源進(jìn)行采礦。
到底有沒有泄露?
目前,UpGuard 公司刪除了關(guān)于 Birst 公司數(shù)據(jù)庫(kù)泄露的博文。此外,銀行業(yè)巨頭 Capital One 公司也否認(rèn)了這一數(shù)據(jù)泄露事件。
在一封采訪郵件當(dāng)中,Capital One公司發(fā)言人表示“Capital One 公司的信息并未遭遇任何泄露問題。被暴露在公共互聯(lián)網(wǎng)當(dāng)中的只是某家供應(yīng)商托管在其云環(huán)境錄中的軟件實(shí)例,其中涉及的密碼與憑證為用于安裝此軟件的通用素材。根據(jù)一般性慣例,Capital One 公司會(huì)在第三方軟件部署完成之后更改所有默認(rèn)設(shè)置(包括相關(guān)憑證),因此此次曝光的信息不會(huì)影響到 Capital One 方面系統(tǒng)與數(shù)據(jù)的安全性。”
