Cybersecurity

เตือนผู้ใช้ Amazon S3 buckets อาจสูญเสียข้อมูลสำคัญ

ฐานข้อมูล S3 หรือ Buckets ของ Amazon ตั้งค่าผิดพลาด และอาจทำให้ใครก็สามารถเข้าถึงข้อมูลภายในได้

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนธุรกิจและองค์กรที่ใช้งาน Amazon S3 Cloud Storage โดยปล่อยให้ใครก็สามารถเข้าถึงข้อมูลได้อย่างอิสระ

การปล่อยข้อมูลให้ผู้ไม่ได้รับอนุญาตสามารถเข้าถึงได้ไม่ใช่เรื่องใหม่ของ เซิร์ฟเวอร์ AWS Storage ของ Amazon หรือ (Buckets) เพราะองค์กรใหญ่ๆอย่าง FedEx, Verizon หรือแม้กระทั่ง Pentagon เองก็เคยทำพลาดมาแล้ว และทำให้ข้อมูลลับหลุดออกไป

จากคำบอกแนะนำว่าในรายงานเป็นเพียงส่วนหนึ่งเท่านั้น เพราะยังมีอีกหลายองค์กรที่ทำให้ข้อมูลสำคัญของตัวพวกเขาเอง หุ้นส่วน และผู้ใช้ที่ไม่รู้อิโหน่อิเหน่ตกอยู่ในความเสี่ยง

ในโลกในอุดมคติ นักวิจัยความปลอดภัยจะติดต่อไปทางองค์กรโดยตรง และบอกพวกเขาว่าเกิดอะไรขึ้น แต่ในความเป็นจริงก็ไม่ได้เป็นแบบนั้น เพราะทางผู้เชี่ยวชาญเองก็ไม่ได้มีเวลาขนาดนั้นหรือตัวองค์กรอาจปฏิเสธหรือละเลยการเตือนก็ได้เช่นกัน

นี่เป็นเหตุผลที่ผู้เชี่ยวชาญด้านความปลอดภัยเลือกใช้วิธีการส่งข้อความ “Friendly Message” เพื่อแจ้งเตือน BBC News รายงาน

“The BBC found almost 50 warnings posted to the firm’s servers. Many had more than one warning uploaded to them. The messages urged owners to secure their information before it was stolen by malicious hackers.”

แฮกเกอร์ฝ่ายดีนาย Victor Gevers โพสต์ทวิตเตอร์พร้อมรูปถ่าย Screenshot ที่พบใน Amazon S3 Bucket:

friendly-warning

Hello,

This is a friendly warning that your Amazon AWS S3 bucket settings are wrong.
Anyone can write to this bucket.
Please fix this before a bad guy finds it.

นักวิจัยความปลอดภัยคุณ Chris Vickery ผู้เปิดเผยว่าหลายองค์กรปล่อยให้ฐานข้อมูลไม่ปลอดภัย เขาบอกว่าเขาเห็นการแจ้งเตือนนี้มาเกินตรึ่งปีแล้ว

ลองคิดดูหากผู้ที่พบช่องโหว่นี้ไม่ใช่วิจัยความปลอดภัย หรือแฮกเกอร์ที่ดี จะเกิดอะไรขึ้นกับข้อมูลเหล่านี้

เพียงแค่ในปีนี้การโจมตีที่เกิดขึ้นกับฐานข้อมูล MongoDB เกิดขึ้นมากกว่าหมื่นครั้ง แฮกเกอร์รวบรวมฐานข้อมูลทั้งและจับไว้เป็นตัวประกัน เพื่อเรียกค่าไถ่จากเจ้าขอฐานข้อมูล และกลัวว่าถ้าหากไม่รีบแก้ไข Amazon S3 buckets จะเป็นรายต่อไป

เมื่อเดือนพฤศจิกายนที่ผ่านมา Amazon เพิ่งเปิดตัวการแจ้งเตือนสถานะของฐานข้อมูลสำหรับผู้ดูแลเซิร์ฟเวอร์

amazon-bucket-warning

เมื่อเดือนกุมภาพันธ์ที่ผ่านมาทาง Amazon ได้อนุญาตให้ผู้ใช้สามารถใช้งานการอนุญาต S3 Bucket ฟรี ซึ่งก่อนหน้าเป็นฟีเจอร์พรีเมี่ยมของ Amazon

ต่อมาทาง Amazon ก็ได้ประกาศแจ้งเกี่ยวกับ Buckhacker เครื่องมือที่ใช้เพื่อขโมยข้อมูลใน Amazon S3 Buckets

Author: Graham Cluley
Source:
https://www.welivesecurity.com/2018/02/22/unsecured-amazon-s3-buckets-expose-private-data/
Translated by: Worapon H.

%d bloggers like this: