安全报告：亚马逊 S3 存储服务器错误配置引发数据泄露

安全公司 Detectify 顾问 FransRosén 于 7 月 13 日发布一份报告，指出网络管理员经常忽略亚马逊（ AWS ）访问控制列表（ ACL ）规则，导致服务器因错误配置导致大量数据在线泄露。    

Detectify 公司认为，尽管服务器配置错误的原因各不相同，但在 AWS S3 存储设置访问控制时，多数漏洞服务器均由常见问题导致。随后，研究人员通过一系列不同错误配置原因证实，由于服务器与目标系统 ACL 的配置极其薄弱，导致黑客可以随时操控、监视与破坏高端网站。

据悉，在该份安全报告中，Rosén 指出 AWS 服务器中存在一处关键漏洞，允许攻击者识别 S3 存储服务器的名称信息、利用 AWS 命令行工具跟踪 Amazon API。如果操作正确，攻击者便可访问 S3 列表并读取文件获取信息。此外，攻击者不仅可以将文件写入并上传至 S3 存储服务器中，还可更改用户访问权限。研究人员表示，由于 AWS S3 的访问控制列表配置错误，攻击者在获取访问权限后允许访问服务器敏感数据。

如果将访问控制设置为 “ AuthenticatedUsers ”，就意味着任何用户均拥有一套有效的 AWS 凭据，其基本由用户注册 AWS 账户获得。不过，用户在看到这个访问控制选项时可能会将身份验证与审核授权混淆。如果 S3 存储服务器配置错误，那么攻击者唯一需要的就是服务器名称信息。

Detectify 表示，识别服务器名称信息及其所属公司的操作极其简单，存在多种不同方法强制 S3 存储服务器显示，包括查看服务器 Amazon S3 的 HTTP 响应。Rosén 表示，他无法确定近期 Verizon 服务器泄露事件缘由是否遇到同样的错误配置问题。但他发现，目前共有 40 家公司在出现错误配置时遇到不同的访问控制问题。

日前，亚马逊发表声明指出这并非漏洞。虽然 AWS S3 服务器配置不正确，可能会导致泄漏数据，但他们无法防止用户操作无错误出现。目前，AWS 已提供一些工具，以便用户更改并锁定服务器访问权限。

原作者：Tom Spring，译者：青楚

from hackernews.cc.thanks for it.