1亿银行用户信息失窃,网络平安应该被重视
来源:互联网 编辑:wan玩得好手游小编 更新:2024-10-29 00:22:48 人气:
上周,美国**第一资本金融公司宣布,公司系统遭到入侵,导致逾1亿用户信息泄露。
这是史上规模最大的**数据失窃案之一,成功取得这一“成就”的女子利用了云系统中的一个漏洞。
佩姬·A·汤普森(Paige A. Thompson)曾经是亚马逊公司云计算部门的一名员工,她在7月29日被捕,被指控实施了大规模盗窃案,窃取了1.06亿第一资本用户的记录。
警告多年的漏洞
根据调查显示,汤普森找到了第一资本系统中的一个漏洞,利用了一些配置错误的网络BUG。多年来,平安专家已经就这一漏洞发出了警告。汤普森正是利用这一漏洞骗过了云端的系统,找到了供她访问庞大**用户记录所需要的敏感凭证。
检察官找到了据称是汤普森的网络账号。她利用这些账号发布在线信息称,自己还运用这些入侵技术访问其他机构的重要网络数据。这些信息被发布在网络论坛上。
汤普森的律师尚未回复置评。她目前依旧被拘留,将于8月15日出席保释听证会。
汤普森此次之所以能够入侵第一资本的系统,最重要的就是利用上了亚马逊云技术的核心部分——元数据服务。元数据包含了管理云端服务器所需要的凭证和其他数据。在计算机世界里,这些凭证实际上相当于**金库的钥匙。
“敲门”
汤普森发布的网络帖子显示,她发动此次入侵攻击的第一步始于今年3月份。她先扫描互联网寻找易受攻击的计算机,从而访问一家公司的内部网络。实际上,她“敲”了许多公司的“门”。
熟悉调查的知情人士称,在第一资本数据失窃案中,她找到了一台管理公司云端和公共网络之间通讯,而且配置错误的计算机,也就是说这台计算机存在平安设置弱点。于是,门被打开了。
在门被打开后,她成功申请了从亚马逊云端的一个系统寻找和读取第一资本云存储数据所需要的凭证,也就是元数据服务。凭证就存储在元数据服务里。
“伙计们,许多人在这一步上都做错了。”汤普森在6月27日的在线信息中称。她指的是一些公司错误配置了他们的服务器。
亚马逊监控工具失灵?
知情人士称,一旦她找到了第一资本的数据,她就能够下载下来。显然,她的入侵没有触发任何警报。
亚马逊在一份声明中称,公司的所有服务,包含元数据服务,都不是这次入侵事件的根来源根基因,公司已经提供了旨在检测此类事故的监控工具。目前还不清楚为何这些报警工具似乎均未触发第一资本的警报铃。
美国联邦调查局(FBI)的一份宣誓书显示,第一资本的一个错误导致了入侵事件的发生。第一资本称,公司现在已经修复了配置问题。
一些平安专家称,亚马逊应该在这些配置错误上采取更多措施来警告其客户。其他人则表示,鉴于云平安是大家共同的责任,企业客户也必须做好自己的天职工作。亚马逊已表示,公司推出了多款工具来帮忙企业缓解配置上的疏忽。
漏洞在2014年就已曝光
美国检察官称,汤普森从3月12日启动了她的入侵行动,但是第一资本一直浑然不知,直到127天后一位外部研究人员告知他们才发现系统遭到入侵。
亚马逊云平安企业顾问斯科特·皮珀(Scott Piper)称,最晚从2014年以来,平安专家就已经知道了这些错误配置问题中的一种,它允许黑客从元数据服务中窃取凭证。他表示,亚马逊认为根除这些问题是客户的责任,但是一些客户未能解决问题。
平安研究人员布莱南·托马斯(Brennon Thomas)在3月份实施了一次互联网扫描,发现近800个亚马逊账号允许外部进行类似的元数据服务访问。亚马逊云计算服务拥有100多万用户。
托马斯称,配置错误的服务器导致外部人士访问敏感元数据,这个问题并不局限于亚马逊AWS云计算服务。他的测试还发现,运行在微软云端的系统也存在问题。微软尚未置评。
注重云平安依旧遭入侵
对于一些研究人员来说,第一资本成为黑客入侵的受害者令人意外。第一资本管理人员称,在2015年决定拥抱云服务以前,公司进行了大量尽职调查。“在云平安业内人士眼里,第一资本非常注重云平安,拥有业内最强大的平安团队之一。”皮珀称。
第一资本数据泄露事件并不是第一次存储在云端的数据被盗。但是,作为美国第五大信用卡发卡商,第一资本遭入侵再次让外界对云计算的平安产生担忧。第一资本是云计算的早期采用者,被列为亚马逊AWS网站上的一个案例研究。
美联储并未受到此次攻击事件的波及。据媒体报导,美联储一直在审视使用云系统存储敏感财政记录一事。
汤普森在一个帖子中暗示,她还尝试利用这一技术入侵其他公司的云计算账号,包含意大利联合信贷**(UniCredit SpA)和福特汽车。联合信贷**和福特均表示,他们正在调查这一事件。FBI还启动了对其他目标的调查,他们怀疑这些目标可能也遭到了汤普森的攻击。
欢迎玩家到【 wan玩得好手游】查看最新变态版手游攻略,只需要在百度输入【 wan玩得好手游】就可以浏览最新上线送满vip的变态手游攻略了,更多有关手游的攻略和资讯,敬请关注玩得好手游网!