UpGuard
系统整合商Accenture被研究人员发现大量资料,以及Amazon△Web△Service金钥放在未以密码保护的云端伺服器上,陷公司资料于外泄风险之中。?
安全公司UpGuard网络风险研究总监Chris△Vickery于9月17日发现Accenture代管在Amazon△Web△Service△(AWS) S3储存服务上的云端伺服器,至少有4台未以密码防护而公开在网络上。一旦路径被发现,即可能导致大量公司及客户资料被人免费下载。?
这批资料包含API资料、身份验证资料、凭证、解密金钥、客户资料等等。进一步分析发现,这些资料隶属于Accenture企业云端产品Accenture△Cloud△Platform,这是一个多云的管理平台,用户包括全球100百大企业中的94家,以及全球500大企业中的2/3。?
这4台伺服器中,最大的伺服器档案高达137GB,包含疑为Accenture客户的帐密资料库。还有近4万笔以明码储存的密码。此外,Accenture的AWS中的金钥管理系统(Key△Management△System)的主金钥也在其中,可导致攻击者取得该公司AWS中所有加密资料的存取权。研究人员表示,一旦这些资料外流,骇客即可针对Accenture客户进行第二波重大攻击。?
经研究人员通知后,Accenture在隔日已立即将4台伺服器加上防护。?
但在被发现之前究竟有多少资料外泄,Accenture对ZDNET仅低调表示这批资料仅占该公司云端服务资料不到1%,而且完全没有公司客户资讯,对客户未造成任何风险。?
这是最新一宗AWS上差点(或可能已经)发生的重大资料外泄。在此之前,已有美国2亿选民资料、军事卫星情报及600多万Verizon用户资料接连因为AWS设定疏失而全部公开在网络上。
I 相关 / Other
不只AWS,Google Computing Engine也开始以秒计费
图片来源: Google 上周AWS推出以秒计费的Linux△EC2服务,周二Google△Cloud也宣布类似的服务。?从今天起,包括Google△Compute△Engine、Container△Engine、Cloud△Dataproc及App△Engine的收费模式,除了原有的以
示意图,与新闻事件无关。 图片来源: Deloitte 卫报(The△Guardian)周一(9/25)披露,全球四大会计师事务所之一的Deloitte(德勤)遭到骇客入侵,导致客户资料外流, Deloitte已对外证实此事,但宣称只有极少数
图片来源: AWS 由于Google及微软Azure竞争者推出以分计价的云端服务计价方式,现在AWS宣布推出以秒计费的服务。?在过去以小时为单位的计费方案下,企业即使只用了几分钟也被收取一小时费用,形成浪费。AWS表示,因应
因外包商AWS S3设定疏失,时代华纳400万用户资料一度曝光
示意图,与新闻事件无关。 图片来源: AWS AWS用户再传资料设定不当。美国有线电视业者时代华纳(Time△Warner)因为手机app外包商线上资料库设定疏忽,致使超过400万名用户资料在云端一度不设防曝光于网络上。?资料
实验:把老旧监视器放在公开网络,平均每两分钟就被成功骇进一次
示意图,与新闻事件无关。 近来有关物联网(IoT)装置安全的讨论沸沸扬扬,让SANS网络风暴中心(ISC)的安全研究人员Johannes△Ullrich决定进行一项实验,他把一台旧款的监视器(DVR)连到网络上,借以纪录骇客的攻