安全公司Mitiga发现,AmazonRelationalDatabaseService(AmazonRDS)上的数百个数据库正在暴露用户的个人身份信息(PII)。在与黑客新闻分享的一份报告中,安全研究人员ArielSzarf、DoronKarmi和LionelSaposnik表示,泄露的数据库包含用户名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至公司登录信息。信息,如详细的用户数据,为潜在的攻击者提供了丰富的“素材”。AmazonRDS是一种用于在AmazonWebServices(AWS)云中构建关系数据库的Web服务。不仅如此,RDS还支持MariaDB、MySQL、Oracle、PostgreSQL、SQLServer等不同的数据库引擎。创建在云中运行数据库的环境的备份,所有AWS账户都可以访问。亚马逊表示,当用户准备将快照分享为公开快照时,请确保公开快照中不包含自己的隐私信息。公开共享快照后,所有AWS账户都将获得复制快照并从中创建数据库实例的权限。从2022年9月21日到2022年10月20日,安全研究人员进行了详细的实验,最终发现810张实验快照在不同时间段(从几小时到几周不等)被公开分享,照片很容易被恶意攻击。攻击和虐待。在这810个快照中,有250多个备份暴露了30天,反映出它们很可能已被遗忘。根据所暴露信息的具体性质,潜在的攻击者可以窃取数据获取经济利益,或者利用数据信息更好地了解用户所属公司的IT环境。因此,亚马逊强烈建议用户不要启用对RDS快照的公共访问,以防止敏感数据的潜在泄漏、滥用或任何其他类型的安全威胁。当然,最好在适当的时候对快照进行加密。
