立即审核您的S3存储

快速和肮脏的指南

更新:更多S3泄漏添加到物品的底部。

在过去的一个月里,我们看到了一次又一次的大型组织遭袭,这并不是因为某个聪明的黑客使用了零日漏洞,而是因为数据存储在亚马逊的S3数据存储中并且允许任何人读取数据

其中一些组织与顾问或第三方供应商进行了错误配置的数据保护,但这并不能阻止他们的责任。事实上,您无法委派责任(仅限权限),因此违反组织的数据,即使通过合作伙伴仍然最终是组织的错误。违反违规诉讼这次并再次证明。

晦涩的安全性

指向S3存储桶的url中有很多疯狂的字符,这些字符经常没有被公开链接。所以,有人很容易公开发布一些东西,但期望没有人会找到它。不幸的是,这几乎从来都不是真的。模糊可以在短期内发挥作用,但长期而言几乎不起作用。希望没有人发现指向您所有客户数据的神奇URL是一个非常糟糕的想法。

在S3的情况下,有许多公共工具(如Digininja的桶查找器),该工具扫描了具有隐藏数据的公共S3桶的Amazon。

以下是一些组织,这些组织在过去几个月里学习了这一教训:

  • 共和党国家委员会-供应商把个人信息和GOP分析多了1.98亿年选民在一个与公众共享的桶中。
  • Booz Allen Hamilton.- 近期历史上最大的政府泄露的人,包括雪顿泄漏的人,当一个木制的时候再次击中最重要的秘密在S3上发现数据未受保护。超过60000个文件公开访问。
  • 世界摔跤娱乐(WWE)-个人资料300万名粉丝未在S3上安全存储。信息包括家庭住址、教育背景、收入和种族。
  • verizon.- 个人数据600万客户的是由一个合作伙伴在S3上发布并公开的。这些数据包括客户姓名、手机号码、账户密码、家庭地址、电子邮件和账户余额。
  • 道琼斯-数据之间2.20万和400万客户(正确的数字是争议的主题)接触到任何登录的AWS用户。有数百万这些用户。数据包括名称,地址和部分信用卡号。还暴露于来自合作伙伴金融机构的敏感合规信息的数据库。

亚马逊警告

亚马逊向S3用户发出通知,使用公开可读的文件存储桶。该警告部分读取:

如果您维护一个Amazon S3桶,无论您是否收到通知,您都有必要检查桶和这些桶中的对象的权限。下面的说明。

审核你的水桶

仔细检查桶权限并不是很难使用Amazon的命令行界面工具.去他们的网站看看如何最好地安装它,但在Mac上,酿造安装aws很好地工作。

接下来,通过调用来配置使用AWS S3凭据的工具AWS配置

最后,迭代每个桶并使用此小bash脚本打印权限您可以复制到终端:

IFS = $ (echo与名词构成动词“\ n \ b”)
在桶里AWS S3 LS.|awk'{打印$ 3}'`
do echo "Bucket $ Bucket:"
aws s3api get-bucket-acl- --bucket“$桶”
完毕

你应该看到这样的输出:

桶如此等等:

“所有者”: {
:“DisplayName someuser”,
“ID”:“8942 fa787d23f……”
},
“授予”:(

“受让人”:{
“类型”:“CanonicalUser”,
:“DisplayName someuser”,
“ID”:“8942 fa787d23f……”
},
“权限”:“full_control”


密切关注输出中授予“AuthenticatedUsers”和“AllUsers”的权限,并仔细检查以确保您想要访问这些桶。如果你这样做了,你还应该再次检查这些桶中实际有哪些数据,以确保敏感信息没有与公共信息混合在一起。

如果你有很多桶,就用吧Grep.找到任何与这些团体共享的。

最后,如果您担心在私有的桶中可能有一个具有公共权限的对象,那么您将需要更全面地检查这些对象的权限。如果你有很多对象,这可能需要一段时间。

下面是一个快速而肮脏的方法来帮你做到这一点。它将打印出任何对象的密钥,这些对象的权限被授予公共或所有经过身份验证的用户。在粘贴到终端窗口之前,您需要指定一个桶ID。如果您在进度点之间的结果中看到任何键,您将希望仔细检查这些对象。

桶= "(你的桶ID) "IFS = $ (echo与名词构成动词“\ n \ b”)
输入'aws s3api列表对象--bucket“$桶”| grep'key“'|SED -E'S / ^**“关键”:“//'e's /”,\?* $ //'`
echo-n。
aws s3api get-object-acl--bucket“$斗” - - key“$ key”|EGREP'(AuthoricationSers | Allusers)'&& echo“public:$ key”
完毕

注意:与AWS的任何交互都可能触发使用费用,所以如果您有大量文件,请特别注意。

加密呢?

事实上,所有这些人错误地配置了AWS权限并将公共场所的敏感数据放在公共场所足够糟糕,但对于敏感的客户数据和甚至顶级秘密数据,简单的权限不应该被认为是“足够好”。

敏感数据应始终加密,以便即使服务器受到损害或流氓亚马逊员工收益访问,除了授权用户之外,数据仍然无法读取。这似乎是基本的常识,但不幸的是,很少有组织以这种方式加密他们的数据。最近尴尬的组织都没有。

如果加密支持的访问控制(无论数据存储在哪里)能够帮助您的公司,请这样做联系IronCore实验室看看我们能不能帮上忙。

更新8/17/17ES&S,投票机供应商,在180万美国人的180万美国人S3桶中左侧敏感数据。

更新8/31/17分组这家为酒店行业提供后端软件的公司,将信用卡信息、合同、内部财务等更多信息暴露在AWS S3不安全的环境中。

更新9/1/17宪章通信通过另一个公共S3桶暴露了600 gb的数据,其中包含400万时代华纳有线用户的敏感数据记录。

更新9/5/17老虎湾,军事承包商和前伴侣天赋,通过公共S3桶泄露了9,000多个执法,军事和政府人员。

更新9/20/17维亚康姆,ParmaOrt图片,喜剧中心,MTV和更多媒体属性的所有者留下了在未受保护的S3桶上暴露的数据。在数据中发现的东西中是viaCom王国的键,包括他们的主架键,GPG键和服务器凭据。黑客可能使用这些来窃取ViaCom的巨额数据。ViaCom表示,来自公开数据的“没有物质影响”。

更新9/22/17Verizon无线将机密文档和内部用户凭据发布到不安全的S3桶。

更新9/22/17SVR跟踪这家汽车跟踪公司泄露了数十万条客户数据记录,这些数据保存在一个不安全的S3桶中。

更新11/21/17五角形存储的美国Centcom和Paccom智能数据从开放的互联网资源刮擦。

咸的散列

建筑物安全的提示,技巧,指针和透视图......

谢谢鲍勃墙

写道

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。提倡隐私和安全。首席执行官IronCore实验室。

咸的散列

建立安全,可测试,可维护的应用程序的提示,技巧,指针和透视图。Ironcore实验室安全与隐私的思考与观察。

写道

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。提倡隐私和安全。首席执行官IronCore实验室。

咸的散列

建立安全,可测试,可维护的应用程序的提示,技巧,指针和透视图。Ironcore实验室安全与隐私的思考与观察。

中等的是一个开放的平台,1.7亿读者可以在这里找到深刻和动态的思考。在这里,专家和未被发现的声音同样会深入任何话题的核心,并带来新的想法。了解更多

关注与你有关的作家、出版物和主题,你会在你的主页和收件箱中看到它们。探索

如果您有一个故事来讲述,知识分享,或者提供提供的视角 - 欢迎回家。很容易和免费发布您对任何主题的思考。开一个博客

获取媒体应用程序

一个按钮,称“在App Store上下载”,如果点击它将导致您到iOS App Store
一个按钮说'获得它,Google Play',如果点击它将导致您进入Google Play商店