上周,美国银行第一资本金融公司宣布,公司系统遭到入侵,导致逾 1 亿用户信息泄露。这是史上规模最大的银行数据失窃案之一,成功取得这一“成就”的女子似乎利用了云系统中的一个漏洞。对于这个漏洞,安全专家们已经警告了多年。

佩姬·A·汤普森Paige A. Thompson曾经是亚马逊公司云计算部门的一名员工,她在 7 月 29 日被捕,被指控实施了大规模盗窃案,窃取了 1.06亿第一资本用户的记录。第一资本表示,“一个特定配置漏洞”导致了数据被盗。

警告多年的漏洞

根据媒体对汤普森的数百条在线信息的分析以及对熟悉调查的知情人士的采访,汤普森据称找到了第一资本系统中的一个漏洞,利用了一些配置错误的网络中的一个弱点。多年来,安全专家已经就这一漏洞发出了警告。汤普森正是利用这一漏洞骗过了云端的一个系统,找到了供她访问庞大银行用户记录所需要的敏感凭证。

检察官找到了据称是汤普森的网络账号。她利用这些账号发布在线信息称,自己还运用这些入侵技术访问其他机构的重要网络数据。这些信息被发布在网络论坛上。

汤普森此次之所以能够入侵第一资本的系统,最重要的就是她显然利用上了亚马逊云技术的核心部分——元数据服务。元数据包含了管理云端服务器所需要的凭证和其他数据。在计算机世界里,这些凭证实际上相当于银行金库的钥匙。

“敲门”

汤普森发布的网络帖子显示,她发动此次入侵攻击的第一步始于今年 3 月份。她先扫描互联网寻找易受攻击的计算机,从而访问一家公司的内部网络。实际上,她“敲”了许多公司的“前门”,目的就是寻找未上锁的门。

熟悉调查的知情人士称,在第一资本数据失窃案中,她找到了一台管理公司云端和公共网络之间通讯,而且配置错误的计算机,也就是说这台计算机存在安全设置弱点。于是,门被打开了。

在门被打开后,她成功申请了从亚马逊云端的一个系统寻找和读取第一资本云存储数据所需要的凭证,也就是元数据服务。凭证就存储在元数据服务里。

“伙计们,许多人在这一步上都做错了。”汤普森在 6 月 27 日的在线信息中称。她指的是一些公司错误配置了他们的服务器。

亚马逊监控工具失灵?

知情人士称,一旦她找到了第一资本的数据,她就能够下载下来。显然,她的入侵没有触发任何警报。

亚马逊在一份声明中称,公司的所有服务,包括元数据服务,都不是这次入侵事件的根本原因,公司已经提供了旨在检测此类事故的监控工具。目前还不清楚为何这些报警工具似乎均未触发第一资本的警报铃。

漏洞在 2014 年就已曝光

美国检察官称,汤普森从 3 月 12 日启动了她的入侵行动,但是第一资本一直浑然不知,直到 127 天后一位外部研究人员告知他们才发现系统遭到入侵。

亚马逊云安全企业顾问斯科特·皮珀Scott Piper称,最晚从 2014 年以来,安全专家就已经知道了这些错误配置问题中的一种,它允许黑客从元数据服务中窃取凭证。他表示,亚马逊认为根除这些问题是客户的责任,但是一些客户未能解决问题。

安全研究人员布莱南·托马斯Brennon Thomas在3月份实施了一次互联网扫描,发现逾 800 个亚马逊账号允许外部进行类似的元数据服务访问。亚马逊云计算服务拥有 100 多万用户。

托马斯称,配置错误的服务器导致外部人士访问敏感元数据,这个问题并不局限于亚马逊 AWS 云计算服务。他的测试还发现,运行在微软云端的系统也存在问题。微软尚未置评。

原文来自:

本文地址://gulass.cn/where-bug.html编辑:roc_guo,审核员:逄增宝

Linux大全:

Linux系统大全:

红帽认证RHCE考试心得: