亚马逊云服务中不少保密文件设置公开,请善用云服务
亚马逊云的简单存储服务“Amazon Simple Storage Service”(S3)有很多企业和开发者在使用,却不重视存储于云中文件的安全。
很多企业使用亚马逊 S3 来存储服务器备份、公司文档、网页记录、公开可见内容比如网站图片、PDF 文件等。存储于 S3 中的文件被组织整理为文件桶“bucket”。
所有人都可以看到公开文件桶的目录,而私有文件桶只允许特定帐号查看。也就是说,一个公开文件桶面向所有人公开其内所有文件、文件夹的名录。
想要判断一个文件桶是公开还是私有非常简单。
用户访问文件桶的路径如下:
http://s3.amazonaws.com/[bucket*name]/</p>
http://[bucket</em>name].s3.amazonaws.com/
你只要能通过这样的地址访问文件桶,能够看到文件桶目录,就说明这个文件桶是公开的。公开文件桶会列出其存储的最新的一千个文件。
私有文件桶却会回复你“访问被拒绝”。
虽然公开文件桶的单个文件可以被锁定,但文件即使被锁定拒绝陌生人下载查看,仅仅是目录中暴露的文件名、文件建立时间等已经可以暴露很多信息,比如顾客名单、文件备份所用时间等。
网络安全网站Net-Security测试了亚马逊 S3 服务的 12328 个文件桶,其中公开文件桶 1951 个,私有文件桶 10377 个。公开文件桶的比例很高,约占六分之一。
从这近两千个共有文件桶中收集到超过 1260 亿个文件名录,由于数量太多,测试者无法一一测试这些文件是否可以下载,最后选择随机取样。测试者取样了超过四万个公开可见的文件,很多都可以下载,而且内容敏感。
测试者总结了一些典型的毫不设防的数据:
- 来自某中型社交媒体服务的私人照片;
- 某大型汽车交易商的销售记录和账户信息;
- 某广告公司客户们的广告追踪数据、点击率、账户信息;
- 很多公司的雇员个人信息,公司成员列表;
- 网站数据和加密用户登录密码的备份数据库;
- 某移动游戏公司的游戏源代码和开发工具;
- PHP 源代码,含设置文件,也就是含用户名和密码;
- 某大型软件经销商的销售资源。
很多数据都很有可能引来黑客攻击,被非法获取后出售于黑市。
大多可公开看到目录的文件是图片,约有 60%,很多都锁定不可访问,但也有一些社交媒体网站将其用户图片和视频暴露给所有访问者。
此外,还有大约五百万的文本文档,很多被标记为“保密”或者“私人所有”,却没有得到应有的保护。