百分之六的谷歌云存储桶配置不当,被暴露在互联网上,可遭任何人访问。
Comparitech 公司调查了2064个谷歌云存储桶,其中131个可遭能列出、下载和/或上传文件的用户的未授权访问。被暴露的数据包括6000个扫描文档在内,这些文档包括护照、出生证和印度儿童的资料。另外一格属于俄罗斯某 Web 开发人员的数据库中包含邮件服务器凭据和该开发员的聊天日志。
该公司的研究员 Paul Bischoff 在本周二发布博客文章指出,“这些存储桶可包含机密文件、数据、源代码和凭据等。”他还表示发现这些遭暴露的云数据库并不难。在谷歌的这个案例中,通过很多命名指南可找到它们。例如,谷歌云数据库名称的长度必须是3到63个字符且仅包含小写字母、数字、破折号、下划线和点,不能包含空格而且名称必须以数字或字母开头或结尾。
Bischoff 解释称,“研究人员能够使用一款特殊工具扫描 Web,而管理员和恶意人员均可获得该工具。他们从 Alexa 排名前100的网站中查找域名并集合命名存储桶时使用的常用词如’bak’、’db’、’database’和’user’。根据搜索输入和命名指南进行过滤就能在2.5小时内找到2000多个存储桶。研究人员表示更新分析方法后可以找到更多的域名。”
研究人员拿到存储桶列表后查看它们是否存在配置不当的问题。Bischoff 指出,“研究分析到此结束,但攻击者能够更进一步分析。例如,攻击者可以使用‘gsutils’命令行工具下载存储桶中的所有文件,谷歌通过这款工具管理存储桶。”
虽然分析仅涵盖谷歌云存储桶,但配置不当的问题也存在于其它平台中。亚马逊 S3 存储桶就是各种应用、网站和在线服务用于在云中存储数据的最流行方式,而且经常遭暴露。
Red Canary 公司的客户安全运营副总裁 Joe Moles 指出,“鉴于云托管系统和去中心化系统的使用越来越多,IT 和安全团队必须了解自己所使用的云服务的多种访问控制设置。说到底这是不成熟的 IT 组织的问题。多数分析可通过提高流程的成熟度,更好地追踪配置、库存等得到降低。简言之,更好的 IT 造就更好的安全性。”
2020年发生了很多高级别安全事件。单在9月份,高端游戏装备(笔记本电脑、服饰等)提供商 Razer 就有约10万名客户的个人信息因 Elasticsearch 服务器配置不当而遭暴露。Mailfire 公司的一个Elasticsearch 服务器因配置不当使70个约会和电商网站暴露客户的个人可识别信息和详情。另外,NHS(威尔士)公布称,新冠肺炎测试为阳性的威尔士居民的个人可识别信息被上传到一个公开服务器而遭暴露。
ThreatQuotient 公司的首席技术执行官兼联合创始人 Ryan Trost 表示,配置不当问题在新冠肺炎疫情后的远程工作情况下变得更糟糕,网络犯罪分子正在积极查找遭暴露的数据库。
他在最近发布的一篇专栏文章中写道,“企业在云中存储的数据越来越多,这些数据包括个人详情、知识产权等等不一而足。企业对云解决方案的使用不断攀升,在获得更好的敏捷性、提升数据分析能力或支持远程办公员工访问数据的同时也增加了云攻击的风险。”
他还指出,“虽然我们当时所知甚少,但在近6个月前,当时新冠肺炎即将爆发之时,给网络攻击者提供了绝佳攻击时机。企业不得不快速使用解决方案,可能跳过了一般的协议,而且员工很可能使用‘影子IT’解决方案。随着越来越多的远程员工将重要数据存储在云中,也增加了更多的易受攻击的切入点。”
原文链接
https://threatpost.com/google-cloud-buckets-exposed-misconfiguration/159429/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。