西班牙一間名為 Prestige Software 的應用服務開發商發生人為錯誤,令 AWS S3 bucket 內儲存的 24.4GB 資料變成公開任睇,而同大家最有關係的地方,是它的客戶包括 Agoda、Expedia、Hotels.com、Booking.com 等酒店預訂服務商,而有可能洩出的更包括客戶信用卡號碼及CVV等資料,好得人驚!
錯誤將雲端服務帳戶設定為公開的新聞,時有發生,例如去年 Samsung 儲存於 GitLab 內的 SmartThings 計劃內容,便因這類失誤而成就「無私分享」事件。而在恒常的網絡掃描期間,Website Planet 研究員就發現,Prestige Software 一個存在於 AWS S3 bucket 的帳戶被設定為公開,在毋須任何驗證下,即可進入該儲存位置讀取數據。經檢視後,研究員發現內裏儲存了超過 1,000 萬個客戶檔案,當中大部分來自酒店客戶,包括全名、身份證號碼、電號、電郵及信用卡上的詳細資料,如被黑客取得,將為客戶帶來難以估計的損失。
研究員指出,Prestige Software 其中一項主要服務是 Cloud Hospitality,可讓酒店業自動將訂房狀況即時與訂房網站更新,讓網民可進行預約及訂房事宜,所以該公司便儲存了大量酒店客戶的個人私隱資料,特別是涉及歐盟成員國的國家,所以如有黑客曾竊取這批資料,Prestige Software 將面臨歐盟的 GDPR 嚴厲懲罰。
除了將檔案設定為公開,錯誤或不了解地使用雲端服務,還可釀成其他洩密災難,例如開發者為求方便,將登入各種雲端應用服務的 secret key 留在 GitHub 等程式碼倉庫;又如 API 設定錯誤,讓黑客可繞過登入程序,直接讀取數據中心的資料。專家認為這些失誤都與忽視雲端安全架構有關,建議在審視雲端安全性時,應從整個架構考慮,以 Threat Modeling 方式,逆向檢視各種可用作發動攻擊的渠道並予以堵塞,才能減少事故發生。
資料來源: https://bit.ly/32DDHrb