尽管S3数据默认为保密,但配置错误使数据暴露了出来。即使NSA也深受其害。
只要知道正确的URL并能访问互联网,任何人都可以通过市场分析公司Alteryx检索到所有遗留在互联网上的数据。这是AWS S3存储服务第三次因管理不恰当而发生的重大的数据存储泄露事件了。
在Alteryx的案例中,很明显这家公司从Experian购买到了信息,并把它放到了名为ConsumerView的数据集里。Altery使用了这些数据来提供市场和分析服务,它把数据放在了AWS S3中,但是忘记了锁上大门。
11月,一些详细记述了美国一个情报收集计划的文件以同样的方式被泄露了出来,这些文件也被存储在S3中。这项计划由国土安全局下属美国情报和安全司令部领导,通过美军在地面上的计算机系统来收集数据,帮助五角大楼实时获取阿富汗在2013年的具体军事行动。与Alteryx的案例几乎一样,由于S3存储桶的一个错误配置,数据被暴露了出来。
事情是这样的:AWS默认关闭访问S3中的数据,因此,在这两个案例中,肯定有人对S3进行了配置,从而暴露了数据。确实,如果配置成可以访问数据,S3拥有通过网络访问数据的选项。因此,这不是AWS的问题,而是运行S3实例的人所造成的一个愚蠢、幼稚或者愚昧无知的错误。
公有云供应商们经常表示,他们不应当为无效负责,或者在这些例子中,为导致数据泄露的不存在的安全配置负责。你可以看出为什么。
在这些案例中,“红客”告知了负责人发生了数据泄露的情况。但我怀疑许多其他这样的错误是由那些悄悄收集数据并将其藏起来的人所披露出来的。
解决这类问题的办法是很常识性的:不要主动暴露那些不应当被暴露出来的数据。你需要在采用公有云之前,学习安全配置和流程。否则的话,这类可以避免的事件就会持续发生。