上周,美国银行第一资本金融公司宣布,公司系统遭到入侵,导致逾 1 亿用户信息泄露。这是史上规模最大的银行数据失窃案之一,成功取得这一“成就”的女子似乎利用了云系统中的一个漏洞。对于这个漏洞,安全专家们已经警告了多年。
佩姬·A·汤普森(Paige A. Thompson)曾经是亚马逊公司云计算部门的一名员工,她在 7 月 29 日被捕,被指控实施了大规模盗窃案,窃取了 1.06亿第一资本用户的记录。第一资本表示,“一个特定配置漏洞”导致了数据被盗。
警告多年的漏洞
根据媒体对汤普森的数百条在线信息的分析以及对熟悉调查的知情人士的采访,汤普森据称找到了第一资本系统中的一个漏洞,利用了一些配置错误的网络中的一个弱点。多年来,安全专家已经就这一漏洞发出了警告。汤普森正是利用这一漏洞骗过了云端的一个系统,找到了供她访问庞大银行用户记录所需要的敏感凭证。
检察官找到了据称是汤普森的网络账号。她利用这些账号发布在线信息称,自己还运用这些入侵技术访问其他机构的重要网络数据。这些信息被发布在网络论坛上。
汤普森此次之所以能够入侵第一资本的系统,最重要的就是她显然利用上了亚马逊云技术的核心部分——元数据服务。元数据包含了管理云端服务器所需要的凭证和其他数据。在计算机世界里,这些凭证实际上相当于银行金库的钥匙。
“敲门”
汤普森发布的网络帖子显示,她发动此次入侵攻击的第一步始于今年 3 月份。她先扫描互联网寻找易受攻击的计算机,从而访问一家公司的内部网络。实际上,她“敲”了许多公司的“前门”,目的就是寻找未上锁的门。
熟悉调查的知情人士称,在第一资本数据失窃案中,她找到了一台管理公司云端和公共网络之间通讯,而且配置错误的计算机,也就是说这台计算机存在安全设置弱点。于是,门被打开了。
在门被打开后,她成功申请了从亚马逊云端的一个系统寻找和读取第一资本云存储数据所需要的凭证,也就是元数据服务。凭证就存储在元数据服务里。
“伙计们,许多人在这一步上都做错了。”汤普森在 6 月 27 日的在线信息中称。她指的是一些公司错误配置了他们的服务器。
亚马逊监控工具失灵?
知情人士称,一旦她找到了第一资本的数据,她就能够下载下来。显然,她的入侵没有触发任何警报。
亚马逊在一份声明中称,公司的所有服务,包括元数据服务,都不是这次入侵事件的根本原因,公司已经提供了旨在检测此类事故的监控工具。目前还不清楚为何这些报警工具似乎均未触发第一资本的警报铃。
漏洞在 2014 年就已曝光
美国检察官称,汤普森从 3 月 12 日启动了她的入侵行动,但是第一资本一直浑然不知,直到 127 天后一位外部研究人员告知他们才发现系统遭到入侵。
亚马逊云安全企业顾问 斯科特·皮珀(Scott Piper)称,最晚从 2014 年以来,安全专家就已经知道了这些错误配置问题中的一种,它允许黑客从元数据服务中窃取凭证。他表示,亚马逊认为根除这些问题是客户的责任,但是一些客户未能解决问题。
安全研究人员 布莱南·托马斯(Brennon Thomas)在3月份实施了一次互联网扫描,发现逾 800 个亚马逊账号允许外部进行类似的元数据服务访问。亚马逊云计算服务拥有 100 多万用户。
托马斯称,配置错误的服务器导致外部人士访问敏感元数据,这个问题并不局限于亚马逊 AWS 云计算服务。他的测试还发现,运行在微软云端的系统也存在问题。微软尚未置评。
来源:凤凰网科技
更多资讯
NVIDIA 显卡驱动曝出 5 个高危漏洞:升级最新 431.60 版本可解决
NVIDIA 今天发布安全公告称,在目前的 Windows 显卡驱动中发现了 5 个高危级别的安全漏洞,都非常的危险。这些漏洞波及 GeForce、Quadro、NVS、Tesla 等各条产品线,分别涉及用户模式驱动、DirectX 驱动、内核模式层(nvlddmkm.sys)等方面,可导致本地代码执行、DoS拒绝服务攻击、权限提升等,操作系统则影响 Windows 7、Windows 8.1、Windows 10。
来源:快科技
详情链接:https://www.dbsec.cn/blog/article/4855.html
Facebook、WhatsApp、Instagram 出现全球大范围宕机
Facebook 及其关联服务 WhatsApp、Instagram 均出现宕机情况。根据用户在推特上的反馈和吐槽,本次宕机问题覆盖全球,目前还没有来自 Facebook 的官方公告。部分用户抱怨无法查看好友的状态,还有部分用户表示无法打开 Facebook 和Facebook Messanger。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/4856.html
Chrome 地址栏默认不展示 HTTPS 和 WWW
从最近发布的 Chrome 69 开始,桌面版和移动版的地址栏默认不再显示 HTTPS 和 WWW。如果用户想要查看完整的网址,桌面版需要点击两次,移动版需要点击一次。Google 此举旨在简化和提高 Chrome 的可用性。但 Google 此举再次招致了批评。
来源:solidot.org
详情链接:https://www.dbsec.cn/blog/article/4857.html
错误的 JIRA 配置导致数百家财富 500 强公司的数据泄露
来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。
来源:开源中国
详情链接:https://www.dbsec.cn/blog/article/4859.html
(信息来源于网络,安华金和搜集整理)