UpGuard網(wǎng)絡(luò)風(fēng)險(xiǎn)小組近日發(fā)現(xiàn)了重大的數(shù)據(jù)泄露事件

UpGuard 網(wǎng)絡(luò)風(fēng)險(xiǎn)小組近日發(fā)現(xiàn)了重大的數(shù)據(jù)泄露事件，涉及在亞馬遜AWS云上運(yùn)行的 GoDaddy 基礎(chǔ)設(shè)施。

GoDaddy 是“全球最大的域名注冊機(jī)構(gòu)”，是最大的 SSL 證書提供商之一，截至2018年是市場份額最大的網(wǎng)絡(luò)主機(jī)服務(wù)商。GoDaddy 擁有1750萬客戶和7600萬個(gè)域名，是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的一個(gè)重要組成部分，它所使用的云是目前規(guī)模最大的一個(gè)。

泄露了哪些數(shù)據(jù)？

泄露的這些文件放在公眾可訪問的亞馬遜S3存儲(chǔ)桶中，泄露的文件包括成千上萬個(gè)系統(tǒng)的基本配置信息以及在亞馬遜AWS上運(yùn)行的系統(tǒng)的定價(jià)選項(xiàng)，包括不同情況下給予的折扣。泄露的配置信息包括主機(jī)名、操作系統(tǒng)、“工作負(fù)載”（系統(tǒng)干什么用的）、AWS 區(qū)域、內(nèi)存和 CPU 規(guī)格等更多信息。

實(shí)際上，這些數(shù)據(jù)直接泄露了一個(gè)規(guī)模巨大的 AWS 云基礎(chǔ)設(shè)施部署環(huán)境，各個(gè)系統(tǒng)有41個(gè)列以及匯總和建模數(shù)據(jù)，分成總計(jì)、平均值及其他計(jì)算字段。似乎包括 GoDaddy 從亞馬遜 AWS 獲得的折扣，通常，這對雙方來說屬于保密信息。

發(fā)現(xiàn)泄露時(shí)，GoDaddy的 CSTAR 風(fēng)險(xiǎn)評(píng)分是752分（滿分950分），亞馬遜的評(píng)分是793分。UpGuard 網(wǎng)絡(luò)風(fēng)險(xiǎn)小組通知了 GoDaddy，對方已堵住了泄露，防止將來有人惡意使用泄露的數(shù)據(jù)。

數(shù)據(jù)泄露事件發(fā)生時(shí)間

2018年6月19日，UpGuard網(wǎng)絡(luò)風(fēng)險(xiǎn)小組某分析師發(fā)現(xiàn)了一個(gè)名為abbottgodaddy的公眾可讀取的亞馬遜S3存儲(chǔ)桶。內(nèi)部是一份電子表格的數(shù)個(gè)版本，這個(gè)17MB大小的微軟Excel文件含有多個(gè)工作表和成千上萬行。UpGuard在確定數(shù)據(jù)的性質(zhì)后于2018年6月20日通知GoDaddy。GoDaddy在7月26日才通過電子郵件予以回復(fù)，UpGuard 的研究團(tuán)隊(duì)證實(shí)漏洞在當(dāng)天已堵住。

這次「銷售」背鍋

默認(rèn)情況下，亞馬遜的S3存儲(chǔ)桶是私密的，只有指定用戶才能訪問。但由于理解有誤或配置有誤，這些權(quán)限有時(shí)會(huì)被更改、允許公眾訪問，即訪問存儲(chǔ)桶URL的任何人都可以匿名查看未明確保護(hù)起來的任何內(nèi)容，無需輸入密碼。S3權(quán)限如何配置不當(dāng)，因此必須極其小心：

所有用戶（每個(gè)人）－公共匿名訪問。任何有用戶名的人都可以打開存儲(chǔ)桶。

身份已驗(yàn)證的用戶（所有AWS用戶）－擁有（免費(fèi)）AWS帳戶的任何人都可以訪問該存儲(chǔ)桶。這種泄露應(yīng)仍被視為公開泄露，因?yàn)楂@取AWS帳戶輕而易舉。

無論是為企業(yè)部署數(shù)十個(gè)存儲(chǔ)桶還是建立個(gè)人云存儲(chǔ)，了解這些公共權(quán)限如何工作以及如何在任何特定的時(shí)間為你的資源設(shè)置它們，對于防止通過這條途徑泄露數(shù)據(jù)而言至關(guān)重要。

配置錯(cuò)誤的 AWS 云存儲(chǔ)實(shí)例引起的數(shù)據(jù)泄露已變得非常普遍，多得數(shù)不勝數(shù)，而這次的情況大不一樣，AWS 銷售人員的錯(cuò)誤泄露了 GoDaddy 公司的機(jī)密信息。

據(jù)亞馬遜聲明，該存儲(chǔ)桶是“由 AWS 的銷售人員創(chuàng)建的”。雖然亞馬遜S3默認(rèn)情況下是安全的，存儲(chǔ)桶訪問在默認(rèn)配置下完全受到保護(hù)，但那位銷售人員在這一個(gè)存儲(chǔ)桶方面并沒有遵循AWS最佳實(shí)踐。

每個(gè)工作表都含有用于建模和分析在亞馬遜云上運(yùn)行的大規(guī)?；A(chǔ)設(shè)施的一些數(shù)據(jù)。最大的工作表名為“GDDY Machine Raw Data”，列出了24000多個(gè)獨(dú)特主機(jī)名的41個(gè)數(shù)據(jù)點(diǎn)，包括給機(jī)器定位的信息，比如主機(jī)名、地理單位、業(yè)務(wù)部門、工作負(fù)載和數(shù)據(jù)中心，以及描述機(jī)器配置的信息。除了有獨(dú)特主機(jī)名的數(shù)千行外，少數(shù)的其他行似乎為多個(gè)機(jī)器概述了同樣的那些數(shù)據(jù)點(diǎn)。

數(shù)據(jù)泄露影響范圍

有兩條主要途徑可以利用這些數(shù)據(jù)：使用GoDaddy服務(wù)器的配置數(shù)據(jù)作為“map”，因此不法分子可以基于其角色、可能的數(shù)據(jù)、大小和區(qū)域來選擇目標(biāo)，使用業(yè)務(wù)數(shù)據(jù)作為云托管策略和定價(jià)方面的競爭優(yōu)勢。

系統(tǒng)配置數(shù)據(jù)為潛在的攻擊者提供了GoDaddy運(yùn)作方面的信息。類似的“casing”信息常常通過社會(huì)工程學(xué)伎倆和互聯(lián)網(wǎng)研究來獲取，從而使其他攻擊盡可能行之有效，每個(gè)數(shù)據(jù)點(diǎn)都有助于實(shí)現(xiàn)這個(gè)目標(biāo)?！皐orkload”這一列尤其有助于將攻擊者引往正確的方向，顯示了哪些系統(tǒng)提供更重要的功能、可能含有重要數(shù)據(jù)。

雖然并不直接提供登錄信息或泄露存儲(chǔ)在這些服務(wù)器上的敏感信息，但數(shù)字基礎(chǔ)設(shè)施的配置信息一旦泄露，就會(huì)為訪問這類信息的攻擊提供一塊跳板。

打破競爭優(yōu)勢

并非只有黑客在伺機(jī)尋找這種信息。競爭對手、供應(yīng)商、云提供商及其他人都有興趣想知道世界上最大的域名主機(jī)服務(wù)商在如何處理云支出。從亞馬遜AWS 和 GoDaddy 的規(guī)模來看，通過談判降低或提高一兩個(gè)百分點(diǎn)至關(guān)重要，因?yàn)檫@可能意味著每年相差數(shù)百萬美元。

了解 GoDaddy 的 AWS 折扣的細(xì)節(jié)可能會(huì)讓其他公司獲得談判優(yōu)勢，并且了解原本保密的價(jià)位。此外，GoDaddy分配云支出的方式也具有戰(zhàn)略意義：多少計(jì)算、多少存儲(chǔ)、在幾個(gè)區(qū)域之間劃分、在幾個(gè)環(huán)境下， 這可謂是指導(dǎo)運(yùn)行最大規(guī)模的云基礎(chǔ)設(shè)施的藍(lán)圖。

潛在嚴(yán)重影響

雖然這種結(jié)構(gòu)數(shù)據(jù)對任何公司來說都很重要，但對于像 GoDaddy 這樣規(guī)模的公司來說尤為重要。有人可能會(huì)說，GoDaddy 擁有互聯(lián)網(wǎng)的五分之一。亞馬遜 AWS 是其領(lǐng)域的領(lǐng)導(dǎo)者，占據(jù)基礎(chǔ)設(shè)施即服務(wù)市場約40%的份額。

雖然泄露的信息本身并不能為針對其系統(tǒng)的籌劃攻擊提供便利，但這種攻擊可能擾亂全球互聯(lián)網(wǎng)流量。如果說 DYN DNS 攻擊表明了什么，那就是大規(guī)模的互聯(lián)網(wǎng)攻擊不僅有可能，而且極其有效，因?yàn)槟承┙M織實(shí)際上已成為整個(gè)系統(tǒng)的嚴(yán)重故障點(diǎn)。