研究人员发现数百个 Amazon RDS 实例泄露了用户的个人数据
云事件响应公司 Mitiga 的新发现显示,Amazon Relational Database Service (Amazon RDS) 上的数百个数据库正在暴露个人身份信息 (PII)。
研究人员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与黑客分享的一份报告中说:“以这种方式泄露 PII 为威胁行为者提供了潜在的宝库——无论是在网络杀伤链的侦察阶段还是勒索软件/勒索软件活动中”消息。
这包括姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至公司登录信息。
Amazon RDS 是一种Web 服务,可以在 Amazon Web Services (AWS) 云中设置关系数据库。它支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和 SQL Server。
泄漏的根本原因源于一项名为公共RDS 快照的功能,该功能允许创建在云中运行的整个数据库环境的备份,并且所有 AWS 账户都可以访问。
亚马逊在其文档中警告说:“确保在公开共享快照时,您的私人信息不会包含在公共快照中。” “公开共享快照时,它会授予所有 AWS 帐户复制快照和从中创建数据库实例的权限。”
这家以色列公司从 2022 年 9 月 21 日到 2022 年 10 月 20 日进行了这项研究,它说它发现了 810 个公开共享的快照,持续时间从几小时到几周不等,这使得它们很容易被恶意行为者滥用。
在 810 个快照中,超过 250 个备份暴露了 30 天,这表明它们很可能被遗忘了。
根据所暴露信息的性质,对手可以窃取数据以获取经济利益,也可以利用它来更好地掌握公司的 IT 环境,这可能成为秘密情报收集工作的垫脚石。
强烈建议不要公开访问 RDS 快照,以防止潜在的泄漏或滥用敏感数据或任何其他类型的安全威胁。还建议在适用的情况下加密快照。
|
所有文章资讯、展示的文字、图片、数字、视频、音频、其它素材等内容均来自网络媒体,仅供学习参考。内容的知识产权归属原始著作权人所有。如有侵犯您的版权,请联系我们并提供相应证明,本平台将仔细验证并删除相关内容。 |
|
工具综合排行榜
TOP 1
|
双计算器同时用两个计算器,用于价格对比、数字分别计算等 |
TOP 2
TOP 3
|
随机密码生成随机生成安全复杂的密码,自由设置密码长度及复杂度 |
TOP 4
TOP 5
TOP 6
TOP 7
TOP 8
TOP 9
TOP 10
|
|