投递人 itwriter 发布于 2018-08-10 16:27 原文链接 [收藏] « »

  配置错误的 AWS 云存储实例引起的数据泄露已变得非常普遍,多得数不胜数,而这次的情况大不一样,AWS 销售人员的错误泄露了 GoDaddy 公司的机密信息。

  据亚马逊声明,该存储桶是“由 AWS 的销售人员创建的”。虽然亚马逊 S3 默认情况下是安全的,存储桶访问在默认配置下完全受到保护,但那位销售人员在这一个存储桶方面并没有遵循 AWS 最佳实践。

  UpGuard 网络风险小组近日发现了重大的数据泄露,涉及的文件似乎描述了在亚马逊 AWS 云上运行的 GoDaddy 基础设施,并采取了保护措施,防止将来有人利用该信息。泄露的这些文件放在公众可访问的亚马逊 S3 存储桶中,GoDaddy 是“全球最大的域名注册机构”,是最大的 SSL 证书提供商之一,截至 2018 年是市场份额最大的网络主机服务商。泄露的文件包括成千上万个系统的基本配置信息以及在亚马逊 AWS 上运行那些系统的定价选项,包括不同情况下给予的折扣。

  泄露的配置信息包括主机名、操作系统、“工作负载”(系统干什么用的)、AWS 区域、内存和 CPU 规格等更多信息。实际上,这些数据直接泄露了一个规模非常大的 AWS 云基础设施部署环境,各个系统有 41 个列以及汇总和建模数据,分成总计、平均值及其他计算字段。还似乎包括 GoDaddy 从亚马逊 AWS 获得的折扣,这对双方来说通常是保密的信息――它们必须协商费率,GoDaddy 的竞争对手也是如此。

  GoDaddy 拥有 1750 万客户和 7600 万个域名,是互联网基础设施的一个重要组成部分,它所使用的云是目前规模最大的一个。发现泄露时,GoDaddy 的 CSTAR 风险评分是 752 分(满分 950 分),亚马逊的评分是 793 分。UpGuard 网络风险小组通知了 GoDaddy,对方已堵住了泄露,防止将来有人恶意使用泄露的数据。

  发现经过

  2018 年 6 月 19 日,UpGuard 网络风险小组的一位分析师发现了一个名为 abbottgodaddy 的公众可读取的亚马逊 S3 存储桶。内部是一份电子表格的数个版本,最新版本被命名为“GDDY_cloud_master_data_1205 (AWS r10) .xlsx”,这个 17MB 大小的微软 Excel 文件含有多个工作表和成千上万行。UpGuard 在确定数据的性质后于 2018 年 6 月 20 日开始通知 GoDaddy。GoDaddy 在 7 月 26 日才通过电子邮件予以回复,UpGuard 的研究团队证实漏洞在当天已堵住。

  关于 S3 存储桶

  默认情况下,亚马逊的 S3 存储桶是私密的,这意味着只有指定用户才能访问。然而,由于理解有误或配置有误,这些权限有时会被更改、允许公众访问,这意味着访问存储桶 URL 的任何人都可以匿名查看未明确保护起来的任何内容,无需输入密码。我们已经概述了 S3 权限如何配置不当、因而泄露数据的几个例子,但简单地说,有两个组在使用时必须极其小心:

  • 所有用户(每个人)-公共匿名访问。任何有用户名的人都可以打开存储桶。

  • 身份已验证的用户(所有 AWS 用户)-拥有(免费)AWS 帐户的任何人都可以访问该存储桶。这种泄露应仍被视为公开泄露,因为获取 AWS 帐户轻而易举。

  无论是为企业部署数十个存储桶还是建立个人云存储,了解这些公共权限如何工作以及如何在任何特定的时间为你的资源设置它们,对于防止通过这条途径泄露数据而言至关重要。

  文件内容  

  内容摘要

  虽然存储桶中有几个电子表格文件,但它们实际上是同一工作表的多个修订版,“R10”是最后一个修订版。最新的电子表格有 8 个标签:

  • Data Legend(数据图例)

  • GDDY Machine Raw Data(GDDY 机器原始数据)

  • Summary(摘要)

  • Compute(计算)

  • Storage(存储)

  • Instance Mapping(实例映射)

  • Spot(竞价型实例)

  • Price List(价格清单)

  每个工作表都含有用于建模和分析在亚马逊云上运行的大规模基础设施的一些数据。

  最大的工作表名为“GDDY Machine Raw Data”,列出了 24000 多个独特主机名的 41 个数据点,包括给机器定位的信息,比如主机名、地理单位、业务部门、工作负载和数据中心,以及描述机器配置的信息,比如“总的 vCPU(AWS)”、“总的内存(AWS)”、“CPU 数量(已配置)”、“核心数量(已配置)”、“总的 vCPU(已配置)”、“vCPU(每个实例所需)”、“vCPU(所需总数)”、“CPU 平均利用率(%)和 CPU 峰值利用率(%)”、“内存(GB)(已配置)”、“内存(GB)(每个实例所需)”、“内存(GB)(所需总量)”、“内存平均利用率(%)和内存峰值利用率(%)”以及“存储(GB)”。除了有独特主机名的数千行外,少数的其他行似乎为多个机器概述了同样的那些数据点。

  其他工作表把这些信息单列了出来。

  屏幕截图

  其他工作表随后将技术性使用转换成财务数字。

  其他工作表提供了大体的摘要。

  造成的后果

  有两条主要途径可以利用这些数据:使用 GoDaddy 服务器的配置数据作为“map”,因此不法分子可以基于其角色、可能的数据、大小和区域来选择目标,使用业务数据作为云托管策略和定价方面的竞争优势。

  系统配置信息

  系统配置数据为潜在的攻击者提供了 GoDaddy 运作方面的信息。类似的“casing”信息常常通过社会工程学伎俩和互联网研究来获取,从而使其他攻击尽可能行之有效,每个数据点都有助于实现这个目标。“workload”这一列尤其有助于将攻击者引往正确的方向,显示了哪些系统提供更重要的功能、可能含有重要数据。

  虽然并不直接提供登录信息或泄露存储在这些服务器上的敏感信息,但数字基础设施的配置信息一旦泄露,就会为访问这类信息的攻击提供一块跳板。

  竞争优势  

  但并非只有黑客在伺机寻找这种信息。竞争对手、供应商、云提供商及其他人都有兴趣想知道世界上最大的域名主机服务商在如何处理云支出。从亚马逊 AWS 和 GoDaddy 的规模来看,通过谈判降低或提高一两个百分点至关重要,因为这可能意味着每年相差数百万美元。但是,了解 GoDaddy 的 AWS 折扣的细节可能会让其他公司获得谈判优势,并且了解原本保密的价位。此外,GoDaddy 分配云支出的方式也具有战略意义:多少计算、多少存储、在几个区域之间划分、在几个环境下, 这可谓是指导运行最大规模的云基础设施的蓝图。

  严重影响

  虽然这种结构数据对任何公司来说都很重要,但对于像 GoDaddy 这么举足轻重的大公司来说尤为重要。有人可能会说,GoDaddy 拥有互联网的五分之一。亚马逊 AWS 是其领域的领导者,占据基础设施即服务市场约 40% 的份额。虽然泄露的信息本身并不能为针对其系统的筹划攻击提供便利,但这种攻击可能扰乱全球互联网流量。如果说 DYN DNS 攻击表明了什么,那就是大规模的互联网攻击不仅有可能,而且极其有效,因为某些组织实际上已成为整个系统的严重故障点。

  结束语

  如今,大家认为互联网是一种无处不在的“完全可行”的服务。但就像那些依赖互联网开展业务的公司一样,负责互联网核心基础设施的公司也面临着技术风险,虽然大大小小的组织必须在业务风险评估中考虑数据泄露,但是在超大规模环境下,错误配置可能更难找到,酿成的后果会严重得多。

  虽然利用这种数据的潜在威胁需要蓄意破坏的不法分子,但通过配置错误的存储服务泄露这些数据却不需要。如果及时发现和修复错误配置的运作意识和流程没有到位,从 GoDaddy 和亚马逊这些大型公司到中小企业,使用云技术的任何人都面临无意泄露数据的风险。无论是主数据中心的资产,还是托管在第三方系统上的资产,数字供应链中的所有环节都要具有弹性,以保护数据。

 
找优秀程序员,就在博客园 收藏 新浪微博 分享至微信
标签: GoDaddy

24小时阅读排行

    最新新闻

      相关新闻