AWS数据库配置错误，致时代华纳400万客户数据泄露

由于承包商未能妥善保护亚马逊服务器，导致AWS S3存储上的数据库暴露在互联网上，时代华纳400多万在线客户个人信息遭到泄露。

处理本次被暴露数据库网络应用程序的自由职业者已经离开AWS S3，但其中包含了七年用户数据被暴露在互联网上。该数据包括地址和联系电话，有关其家庭网关的信息和帐户设置。

在此之前，易受攻击的AWS S3由BroadSoft运营。BroadSoft是一家云服务提供商，该服务提供商一直在使用S3 silos来保存包含客户记录的SQL数据库信息。

8月底，安全公司Kromtech对这两个存储库安全检查时，发现数据库被设置为允许公众访问，而不是限制为只对管理员或授权用户访问。

原因可能是工程师的疏忽，导致未关闭公共配置。这样做的结果是可以让互联网用户可以访问非常敏感的文档。他们不仅可以访问，而且可以从URL下载数据或使用其他应用程序。由于没有安全设置，只需一个简单的匿名登录即可。

该数据库包括2010年11月26日至2017年7月7日期间收集的400万台TWC客户的信息。公开数据包括客户帐单地址，电话号码，用户名，MAC地址，调制解调器硬件序列号，帐号和有关帐户的服务设置和选项的详细信息。

事故发生后，时代华纳及时通知了被曝光信息的用户，供应商也立即删除了这些信息。

这不是AWS S3第一次发生设置错误，将公众数据暴露在公开环境中。其他被研究员发现不良配置导致数据泄露的数据库包括了芝加哥选民、Verizon用户、甚至共和国全国委员会的数据库等。

©转载请联系我们期望时代变迁有您相伴——点击关注IT战略家，感谢支持！