技术编辑:宗恩丨发自 SiFou Office
SegmentFault 思否报道丨公众号:SegmentFault
来自外媒消息,两位安全研究人员 Noam Rotem 和 Ran Locar 在 5 月 24 日扫描开放的互联网时,偶然发现了一组可公开访问的亚马逊网络服务 「数据存储库」。每个库都包含了来自不同专业约会应用的大量数据,其中包括 3somes、Cougary、Gay Daddy Bear、Xpal、BBW Dating、Casualx、SugarD、Herpes Dating和 GHunt。
两位研究人员在「数据存储库」中发现了 845 千兆字节和接近 250 万条记录,这些数据可能来自于数十万用户。
据安全人员透露这些数据中有性爱照片、录音、私人聊天截图和付款收据,而且这些截图足以证明这是一场「交易」。在被曝光的个人身份信息中包括真实姓名、生日和电子邮件地址。安全研究人员 Locar 对自己发现这些数据感到非常惊讶,这些数据如果被用来勒索、心理虐待将会对这些用户造成经济和心理的双重损失。
矛头直指「成都高新区」
当研究人员深度追踪暴露的数据库时,他们意识到,所有的应用程序似乎都来自同一个来源。并且它们的基础设施相当统一,应用的网站都有相同的布局,许多应用程序都以 Google Play 的开发者身份列为「成都高新技术区」。研究人员联系了 3 somes 。第二天,他们得到了简短的回应,所有的数据库同时被锁定。之后他们试图联系「成都高新技术区」,但未收到任何回复。
去年也有类似的事件发生。网络安全公司 UpGuard 的研究人员发现,大量 Facebook 用户信息被公开发布在亚马逊公司的云计算服务器上,墨西哥城的媒体公司 Cultura Colectiva 错误的公开存储了 5.4 亿 Facebook 用户的记录,包括身份号码、评论和账户名称。
在总共 146G 的 Cultura Colectiva 数据集中,研究人员表示很难知道有多少 Facebook 用户受到了影响。UpGuard 说在关闭数据库时也遇到了困难。该公司花了数月时间向 Cultura Colectiva 和亚马逊发送电子邮件,提醒他们注意这个问题。直到 Facebook 联系了亚马逊,泄露才得以解决。
Facebook 也因为此事股价大跌。
这并不是黑客入侵,而只是马虎的将存储数据地址搞错,并错误地让数据被访问。
像 Amazon Web Services 的简单存储服务这样的程序,本质上是一个可上网的硬盘驱动器,它为客户提供了让哪部分的人看到这些数据的选择。有时,这些信息被设计成面向公众的,比如存储在公司网站上的照片或其他图像缓存。但有些时候他也可以被设置公开,通常情况这充其量只是一个无关紧要的错误,但如果是像上述这些重要的数据就会引发巨大的灾难。
AWS 和其他云提供商为了避免此类错误添加了很多安全机制,以在用户存储数据库配置为可公开访问时重复警告用户。这个问题在整个安全行业都是众所周知的。但是仍然有无数的错误导致曝光。
amazon-web-services
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。