快看看有你没!数百个亚马逊 RDS 泄露了用户信息

安全
此次亚马逊 RDS 用户个人数据泄漏事件源于一个称为公共 RDS 快照的功能,该功能允许创建一个在云中运行数据库的环境备份,并且可以被所有 AWS 账户访问。

安全公司 Mitiga 最新发现显示,亚马逊关系型数据库服务(Amazon RDS)上数百个数据库正在暴露用户个人身份信息(PII)。

1668678400_637603006c032b08572a7.jpg!small?1668678400005

安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示,泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至是公司登录信息,如此详细的用户数据,为潜在攻击者提供了丰富的“素材”。

亚马逊 RDS 是一项 Web 服务,可以在亚马逊网络服务(AWS)云中建立关系型数据库。不仅如此,RDS 还支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

亚马逊 RDS 数据泄露事件详情

此次亚马逊 RDS 用户个人数据泄漏事件源于一个称为公共 RDS 快照的功能,该功能允许创建一个在云中运行数据库的环境备份,并且可以被所有 AWS 账户访问。

亚马逊方面表示,当用户准备把快照分享为公共快照时,请确保公共快照中不包括自身私人信息,一旦快照被公开共享时,会给予所有 AWS 账户复制快照和从中创建 DB 实例的权限。

1668678754_637604624afdbbc5b3bc0.jpg!small?1668678754107

2022 年 9 月 21 日至 10 月 20 日期间,安全研究人员进行了细致实验,最后发现实验的 810 张快照在不同时间段(从几小时到几周)内被公开分享,照片很容易被恶意行攻击滥用。

在这 810 张快照中,有超过 250 个备份暴露了 30 天,侧面反映它们很可能已经被遗忘了。

根据所暴露信息的特殊性质,潜在攻击者可以窃取数据以期获取经济利益,或利用数据信息来更好地掌握用户所属公司的 IT 环境。

因此,亚马逊强烈建议用户不要开启 RDS 快照公开访问权限,以防止敏感数据的潜在泄漏、滥用或任何其他类型的安全威胁。当然,最好在适当的时候对快照进行加密。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-12-25 16:01:26

2012-02-01 10:13:04

2021-12-24 15:59:18

Azure漏洞源码库

2022-02-22 10:30:49

Kubernetes集群

2022-06-02 14:00:41

网络攻击黑客勒索攻击

2023-05-30 20:19:20

2022-04-22 17:07:02

源代码开源代码泄漏

2022-07-31 23:43:10

网络安全漏洞风险管理

2022-07-04 11:17:54

微软蠕虫病毒Raspberry

2021-11-09 06:34:32

CISA漏洞补丁

2020-04-17 09:20:19

数据泄露漏洞信息安全

2022-08-14 16:15:52

Python机器学习大数据

2013-04-15 09:51:53

中国联通IDCSDN

2021-07-30 16:17:50

TCP操作系统协议

2024-03-25 13:28:48

2022-01-20 15:44:48

黑客网络攻击网络安全

2019-08-28 17:23:20

2023-10-07 07:01:07

2023-02-24 15:37:10

2021-01-12 13:29:20

数据神经网络
点赞
收藏

51CTO技术栈公众号