وجدت المئات من النسخ الاحتياطية المكشوفة من Amazon Cloud بيانات حساسة تتسرب

وجدت المئات من النسخ الاحتياطية المكشوفة من Amazon Cloud بيانات حساسة تتسرب


ما مدى أمان أسرارك؟ إذا كنت تستخدم لقطات تخزين بلوك مرنة من Amazon فقد ترغب في التحقق من إعداداتك.

بحث جديد تم تقديمه للتو في مؤتمر Def Con Security يكشف عن كيفية تسرب الشركات والشركات الناشئة والحكومات عن غير قصد ملفاتها الخاصة من السحابة.

ربما تكون قد سمعت عن دلاء S3 المكشوفة-خوادم التخزين التي تستضيفها Amazon المليئة ببيانات العميل ولكنها غالبًا ما تكون خاطئة وتعيينها عن غير قصد للجمهور لأي شخص للوصول إليها. ولكن ربما لم تسمع عن لقطات EBS المكشوفة والتي تشكل إن لم تكن أكبر خطر. محلل الأمن في شركة Cybersecurity Bishop Fox في مكالمة مع TechCrunch قبل نقاشه Def Con. تخزين لقطات EBS جميع البيانات للتطبيقات السحابية. وقال إنهم لديهم المفاتيح السرية لتطبيقاتك ولديهم الوصول إلى قاعدة البيانات إلى معلومات عملائك هو قال. ولكن يتم ترك أحجام EBS العامة هذه فقط لأي شخص أن يأخذها وبدء التخلص منها.

قال إنه في كثير من الأحيان لا يختار المسؤولون السحابيون إعدادات التكوين الصحيحة مما يترك لقطات EBS عامة عن غير قصد وغير مشفورين. هذا يعني أن أي شخص على الإنترنت يمكنه تنزيل القرص الصلب الخاص بك وإقلاعه وتوصيله بجهاز يتحكم فيه ثم يبدأ في البرد عبر القرص للبحث عن أي نوع من الأسرار

شرائح موريس ديف كونها شرح كيف يمكن كشف لقطات EBS. (الصورة: Ben Morris/Bishop Fox مزود)

قام Morris ببناء أداة باستخدام ميزة البحث الداخلية الخاصة بـ Amazon للاستعلام وكشط لقطات EBS المكشوفة علنًا ثم قم بإرفاقها وقم بإجراء نسخة وسرد محتويات المجلد على نظامه.

إذا قمت بفضح القرص حتى بضع دقائق فقط فإن نظامنا سيستلمه ويصنع نسخة منه. من البيانات المعروضة التي تم العثور عليها باستخدام أبحاثه والمعروفة غالبًا باسم جدار الأغنام (الصورة: Ben Morris/Bishop Fox الموردة)
الدولارات التي تنفق على موارد الأمازون السحابية. بمجرد أن يتحقق من صحة كل لقطة يقوم بحذف البيانات.

وجد موريس عشرات اللقطات المكشوفة علنًا في منطقة واحدة وحدها بما في ذلك مفاتيح التطبيقات ومستخدمي أو بيانات اعتماد إدارية ورمز المصدر والمزيد. وجد العديد من الشركات الكبرى بما في ذلك مقدمي الرعاية الصحية وشركات التكنولوجيا.

وجد أيضًا تكوينات VPN والتي قال إنه يمكن أن يسمح له بالنفق في شبكة الشركات. قال موريس إنه لم يستخدم أي بيانات اعتماد أو بيانات حساسة لأنه سيكون غير قانوني. قدمت خدمات تخزين البيانات للوكالات الفيدرالية. وقال إنه على موقعه على الويب يتفاخرون باحتفاظ هذه البيانات في إشارة إلى الذكاء الذي تم جمعه من الرسائل المرسلة من وإلى ما يسمى الجماعة الإرهابية الإسلامية إلى بيانات عن المعابر الحدودية.

هذه هي نوع الأشياء وقال: 'بالتأكيد لا أريد أن أتعرض للإنترنت العام. وقال متحدث باسم Amazon إن العملاء الذين قاموا بتعيين لقطات Amazon EBS على الجمهور قد تم إخطارهم ونصحوا بأخذ اللقطة في وضع عدم الاتصال إذا كان الإعداد غير مقصود. . br>

اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي