由于 Amazon S3 存储桶配置错误,美国市政当局遭受数据泄露
根据 安全公司 WizCase 的网络安全研究人员团队的一份新报告,来自美国数十个城市的超过 1,000 GB 数据和超过 160 万个文件暴露在外。
所有城镇似乎都通过一个产品连接起来:mapsonline.net,它由一家名为 PeopleGIS 的马萨诸塞州公司所有。该公司为马萨诸塞州、新罕布什尔州和康涅狄格州的地方政府提供信息管理软件。
由 Ata Hakçıl 领导的 WizCase 道德黑客团队发现了 80 多个错误配置的 Amazon S3 存储桶,其中包含与这些城市相关的数据。数据范围从契约和税务信息等住宅记录到营业执照和政府职位的工作申请。
据研究人员称,WizCase 的扫描仪显示了 114 个以相同模式命名的 Amazon Buckets,揭示了与 PeopleGIS 的联系。其中,28 个似乎配置正确(意味着它们不可访问),86 个无需任何密码或加密即可访问。
Symmetry Systems 的联合创始人兼首席执行官 Mohit Tiwari解释说,“S3 存储桶和数据对象策略很复杂,很容易出错。这种复杂性部分是因为 AWS 多年来创建了多次权限迭代,部分是因为产品团队必须快速交付,并且不会重新考虑安全决策。在没有专门的云安全团队的小型组织中尤其如此。”
Tiwari 补充说:“与此同时,Netflix 等组织展示(并共享开源)强大的工具来创建内置最佳安全实践的基础设施。对组织而言,好消息是在创建为他们的产品团队铺平道路可能会显着减少他们的攻击面,而不会减慢他们的速度。”
公开的文件类型因市政当局而异。这种差异和涉及的市政当局数量意味着无法明确估计在这次违规中易受伤害的人数。暴露的文件类型包括营业执照、居住记录(例如契约)、税务信息和政府工作申请人的简历。泄露中暴露的信息包括(但不限于):
- 电子邮件地址
- 实际地址
- 电话号码
- 驾驶执照号码
- 房产税信息
- 个人照片(驾驶执照上)
- 房源照片
- 建筑和城市规划
一些易受攻击的文档已被编辑,但它们是使用标记等透明工具进行数字编辑的。这意味着找到它们的人可以在照片编辑器中更改文档的对比度级别并查看编辑后的信息。这意味着即使是经过编辑的文档也可能在这次违规中受到攻击。最终,该漏洞可能会导致这些市政当局的公民遭受大规模欺诈和盗窃,因为它在当地政府的数据库中包含高度敏感的数据。
“网络资产可见性是导致此类问题的根本问题,” JupiterOne 的CMO Tyler Shields 说。“公司迁移到云和构建云原生技术的速度导致错误配置和缺乏资产可见性导致的安全问题快速增长。拥有最新的配置、安全性和资产可见性是构建了强大的安全程序。
来源:freebuf.com 2021-07-24 19:34:54 by: 无名草talent
请登录后发表评论
注册