新闻快讯
< >

黑客神器BuckHacker:可抓取AWS敏感数据的搜索引擎

E安全2月20日讯 一项专门面向白帽黑客群体的新服务已经启动,名为 Buckhacker 的项目创建了一套类似于谷歌的搜索引擎,可通过浏览暴露在互联网当中的服务器发现企业不慎泄露的敏感数据,允许任何用户对存储在亚马逊Amazon Web Services(简称AWS)服务器存储桶上的非安全数据进行搜索。

!!“BuckHacker”搜索工具允许用户爬取非安全AWS存储桶数据-E安全

事实上,过去的2017年当中已经发生了大量数据泄露事件,众多全球领先企业在AWS服务器上存储客户与业务数据且未配合进行密码保护,这意味着任何掌握存储桶具体地址的人均可对相关内容进行访问。

埃森哲、WWE、AA、道琼斯甚至是美国国家安全局都曾经经历过服务器配置错误问题,并因没有遵循最基本的安全协议而受到舆论的谴责。

Buckhacker的优势在哪里?

通常情况下,这些发现需要由各安全研究小组在互联网上对可公开访问的服务器进行广泛搜索。Buckhacker 能够显著简化这一操作过程,即允许用户通过使用可能与目标企业相关的存储桶名称或文件名称来搜索AWS列表。该项目的开发者们表示,这是为了提高安全意识而非帮助潜在黑客群体。

1.jpg

尽管该工具的设计水平并不算高,但其确实能够收集结果并将存储在数据库当中的信息供其他用户查看。开发者在采访当中解释称,“此项目的目标在于提升存储桶安全保障意识,目前众多企业因存储桶管理权限错误而蒙受损失。该项目目前尚处于刚刚起步的阶段(我们正在努力修复其中的一些bug)。”

AWS 压力山大

Buckhacker项目并不是第一种此类工具,在此之前 AWSBucketDump 等工具已经允许用户以恶意方式查找暴露 AWS 存储桶; 如果用户明确知晓自己需要搜索什么,甚至可以通过谷歌访问特定服务器地址。然而 Buckhacker 之所以值得关注,是因为它可能是迄今为止最易于使用的、具备用户界面的工具方案。

Bitglass 安全公司产品管理副总裁迈克·许里希特表示:“鉴于攻击者能够轻松使用这款发现工具,因此确保企业基础设施不向公众开放应当成为企业IT部门必须遵循的基本原则之一。”

就在这款新工具亮相的同时,美国联邦快递公司客户的11万9千个文件亦被发现遭到泄露,其中包含家庭住址、电子邮件地址以及用户的驾照与护照等细节信息。

许里希特表示,这家快递公司只是掌握着巨额财富与深层安全资源,但却因同一基本但却严重的错误而落入陷阱的又一位巨头级受害者。

Amazon公司曾在2017年11月指出,其将为所有新的 AWS 服务器引入默认加密技术,其可在理论上防止此类泄露事件的再次发生。然而,用户需要以手动方式将这项加密功能应用于一切原有存储桶,这意味着那些存储在企业并不知晓的服务器上的数据仍然面临着严重威胁。

研究人员已经Amazon方面已经意识到这款新工具的存在。

Buckhacker项目地址:www.buckhacker.com

相关阅读:

1.23亿美国家庭敏感数据泄露,谁该为AWS S3配置错误买单?

美国NCF被泄111G机密数据! AWS又捅娄子!
又泄密了!美国防部100GB顶级机密在AWS上曝光
亚马逊AWS获美国防部IL5临时授权,能满足国防部最机密数据存储需求

又是AWS数据库配置错误,时代华纳400万客户信息在线泄露
美国TigerSwan因第三方AWS安全疏忽泄露 9400份敏感简历,或含美驻印尼大使、中情局前员工信息
亚马逊AWS服务器信息泄露 180万选民信息被曝光
昨夜亚马逊AWS出现故障 多家互联网服务受影响
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。