研究人员发现数百个 Amazon RDS 实例泄露了用户的个人数据
Amazon Relational Database Service (Amazon RDS) 上的数百个数据库正在暴露个人身份信息 (PII),云事件响应公司 Mitiga 的新发现显示。
Amazon Relational Database Service (Amazon RDS) 上的数百个数据库正在暴露个人身份信息 (PII),云事件响应公司 Mitiga 的新发现显示。
“以这种方式泄露PII为威胁行为者提供了潜在的宝库 - 无论是在网络杀伤链的侦察阶段还是勒索软件/勒索软件活动,”研究人员Ariel Szarf,Doron Karmi和Lionel Saposnik在与The Hacker News分享的一份报告中说。
这包括姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至公司登录信息。
Amazon RDS 是一项 Web服务,可以在 Amazon Web Services (AWS) 云中设置关系数据库。它支持不同的数据库引擎,如MariaDB,MySQL,Oracle,PostgreSQL和SQL Server。
泄漏的根本原因源于称为公有RDS 快照的功能,该功能允许创建在云中运行的整个数据库环境的备份,并且可以由所有 AWS 账户访问。
Amazon RDS 快照
“确保在共享快照时,您的任何私人信息都不会包含在公共快照中,”亚马逊在其文档中警告说。“公开共享快照时,它会授予所有 AWS 账户复制快照和从中创建数据库实例的权限。”
这家以色列公司于 2022 年 9 月 21 日至 2022 年 10 月 20 日进行了这项研究,该公司表示,它发现了 810 张快照,这些快照被公开共享的时间不等,从几个小时到几周不等,这使得它们很容易被恶意行为者滥用。
在 810 个快照中,超过 250 个备份暴露了 30 天,这表明它们可能已被遗忘。
根据暴露的信息的性质,攻击者可以窃取数据以获取经济利益,也可以利用这些数据更好地掌握公司的IT环境,然后可以作为秘密情报收集工作的垫脚石。
强烈建议不要公开访问 RDS 快照,以防止敏感数据的潜在泄漏或滥用或任何其他类型的安全威胁。还建议在适用的情况下加密快照。
“以这种方式泄露PII为威胁行为者提供了潜在的宝库 - 无论是在网络杀伤链的侦察阶段还是勒索软件/勒索软件活动,”研究人员Ariel Szarf,Doron Karmi和Lionel Saposnik在与The Hacker News分享的一份报告中说。
这包括姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至公司登录信息。
Amazon RDS 是一项 Web服务,可以在 Amazon Web Services (AWS) 云中设置关系数据库。它支持不同的数据库引擎,如MariaDB,MySQL,Oracle,PostgreSQL和SQL Server。
泄漏的根本原因源于称为公有RDS 快照的功能,该功能允许创建在云中运行的整个数据库环境的备份,并且可以由所有 AWS 账户访问。
Amazon RDS 快照
“确保在共享快照时,您的任何私人信息都不会包含在公共快照中,”亚马逊在其文档中警告说。“公开共享快照时,它会授予所有 AWS 账户复制快照和从中创建数据库实例的权限。”
这家以色列公司于 2022 年 9 月 21 日至 2022 年 10 月 20 日进行了这项研究,该公司表示,它发现了 810 张快照,这些快照被公开共享的时间不等,从几个小时到几周不等,这使得它们很容易被恶意行为者滥用。
在 810 个快照中,超过 250 个备份暴露了 30 天,这表明它们可能已被遗忘。
根据暴露的信息的性质,攻击者可以窃取数据以获取经济利益,也可以利用这些数据更好地掌握公司的IT环境,然后可以作为秘密情报收集工作的垫脚石。
强烈建议不要公开访问 RDS 快照,以防止敏感数据的潜在泄漏或滥用或任何其他类型的安全威胁。还建议在适用的情况下加密快照。
关于作者
评论1次
学xi到了学xi到了