管好你的「钥匙」：论云存储最大的安全威胁

有云的地方，就是江湖

以云计算为基础，将互联网需求为中心，相继引申出了一系列新的概念，云存储就是其一。但云计算从诞生就和安全有了扯不清的争论，现在不谈安全的云会被认为是耍流氓，这种高要求对用户来说其实是好事儿，但前提是避免那些不正确的使用姿势。

打个比喻，企业建设自己的数据/文件存储池就像电商给自己建仓库一样，以前要这样做：

• 买地皮（IDC、带宽的调用）
• 购买建材（服务器、磁盘等）
• 雇佣工人（技术工程师）

这每个环节都要耗费不菲的成本与精力，而且中间环节质量参差不齐，日后就给企业埋下诸多安全隐患。

而云计算是这么做的：

• 我出高质量的地皮、建材、工人，建设一流的仓库
• 还会做好防水、防火、防盗、灾备等等你所担心的保障
• 而你，只需把数据放在我这里，支付一定的租金即可

给企业的灵魂带来莫大的冲击！上云，会减轻企业相当大的一部分建设/运维管理成本。相信已经有一大批的企业运维朋友将数据与安全交给了云服务商，不过却在自己的日常工作习惯（与意识）中留下了致命的安全隐患……

最近的一份安全报告 RubyChina主站及RubyTaobao数据库和配置文件泄漏（导致其阿里云存储服务权限被控制），发现采用了云存储的企业可能会面临比较尴尬的问题 —— 仓库是放心了，但是门钥匙还是保管不好。起因是白帽在 Github 上发现了企业的部分源代码，在代码中发现了这些内容

图为：阿里云OSS服务的ACCESS_KEY

OSS 是阿里云推出的云存储服务，给用户提供 ACCESS_ID 与 ACCESS_KEY 进行数据存储的使用与交互，这些信息相当于仓库的「钥匙」。白帽子利用企业无意泄露的「钥匙」直接连入了企业的云存储服务。

各种文件目录！

图为：企业每日的代码数据等备份信息…

有种攻破马其诺防线的感觉，并没有按照套路挑战云存储平台，而是利用企业的疏忽绕道对数据达到了同样严重的影响。近期因企业管理不当导致阿里云存储 KEY 泄露的案例较多，这个影响是非常需要企业警惕的。

除了 Github 配合 OSS KEY，还有很多同样思路的案例。比如这个 iOS 的产品安全报告 “敢聊”用户照片及语音泄漏等隐私泄露 ，白帽子通过工具将 APP 文件解包。

用工具打开iOS应用

发现了七牛云存储的KEY！

在 APP 的配置文件中保存了云存储（使用的是七牛）的APPKEY、APPSECRET和空间名称、空间域名。显然，有了这些东西，那么用户发送的所有资料，都一览无余。

通过官方 SDK 连接查看服务器上存储的图片

读取到其他用户上传的照片…

任何一个用户下载的 APP 都包含这把打开企业仓库的钥匙，真是非常恐怖的，APP 开发商需要注意这一点，无论 iOS 还是 Android 。（以上两个案例企业均以得到修复）

这些年乌云收到了很多非常规思路的安全报告，乌云君也觉得现在拼的就是企业对信息安全理解的深度。就像密码，可以分为人用的密码和非人类用的密码，当大家都在关注脱裤、撞库、弱口令等问题时，非人类用的密码（以上提到的各种KEY）开始受到关注，变成更具威胁的入口！