亚马逊AWS S3宕机之后 200余万道琼斯客户数据遭曝光
今年年初,亚马逊AWS S3宕机恶性事件风糜全球,造成亚马逊S3主要数据中心无响应,导致AWS历史上公共云服务出错最长且影响最大的一次。 短短几月,由亚马逊AWS S3引发的云数据安全事件再次引发关注。 根据外媒最新消息,由于亚马逊云存储服务器上的配置错误,包括《华尔街日报》订户在内的220万道琼斯“私密信息”都遭到未经授权的访问。 事件发生后,道琼斯公司对外发言人表示,这些信息在亚马逊AWS上过度曝光,而不是开放式互联网。 “这是由于内部错误,而不是黑客或攻击。” 其中,受影响的数据包括姓名,电子邮件地址,家庭地址,内部帐户详细信息,信用卡号码的最后四位数字,以及紧急联系电话号码。 据了解,道琼斯发言人将数据描述为“基本联系信息”,并表示“不包括可能对消费者构成重大风险或需要通知的完整信用卡或帐户登录信息”。他说,该公司没有证据表明该信息已被采纳。 据权威安全调研机构UpGuard吐露,6月初他们曾向道琼斯公司报告了安全问题,他们发现了Amazon的简单存储服务(S3)存储库中的数据。据他们介绍,存储库配置不正确,可以由任何拥有Amazon Web Services(AWS)帐户的用户访问。 据悉,亚马逊的云计算平台拥有超过一百万用户,并注册一个帐户,该服务是免费的。 根据调研报告显示:“不难看出黑客会如何利用网络钓鱼信息来攻击那些暴露的顾客。” “从发送官方的电子邮件来看,发送人自称《华尔街日报》(Wall Street Journal),邮件显示通知客户他们的订阅已经失效或被泄露,黑客可能成功地说服了这些高价值的目标,提供信用卡信息、登录凭证或更多信息。” UpGuard还发现了道琼斯风险与合规服务部门的数据,收集了有关高风险个人和组织的信息,以帮助公司遵守有关洗钱,贿赂,腐败和制裁的监管义务。 道琼斯发言人表示,这些数据仅从报纸文章和政府观察名单等公共渠道得到了限制。“它没有包含任何客户信息。” 此外,在外媒媒体报道中表示,这不是UpGuard第一次在安全性差的Amazon S3存储库中找到敏感数据。上周,该公司报告说,数百万Verizon客户的名称,地址和个人识别码(PIN)被发现在可公开访问的Amazon S3“桶”中。事件是由Verizon使用的数据分析供应商NICE Systems发生人为错误的结果。 在过去的几年里,包括儿童在内的数以百万计的人的个人信息已经暴露出来,因为配置上的错误导致各种各样的公司的数据库在互联网上被公开访问。此类事件表明,组织需要更好地理解将数据移动到云中的访问控制机制。 (编辑:ASP站长网) |