Написать пост

Дашборды AWS теперь предупреждают об ошибках безопасности в бакетах

Аватар Вячеслав Шарунов
Вячеслав Шарунов

Теперь администраторы серверов S3 будут точно знать, какие из бакетов находятся в публичном доступе.

После нескольких утечек данных, вызванных неправильно сконфигурированными серверами S3, Amazon решила добавить предупреждения на панель задач AWS. Теперь администраторы сервисов будут точно знать, какие из хранилищ данных (buckets) являются общедоступными и открывают доступ к конфиденциальным данным.

Дашборды AWS теперь предупреждают об ошибках безопасности в бакетах 1

Доступность бакета в Сети

Предупреждение представлено в виде ярко-оранжевой кнопки, которая появляется в разных местах на консоли AWS. Amazon надеется, что администраторы сервисов заметят подобные предупреждения и, в случае необходимости, пересмотрят права доступа к затронутым бакетам S3 во избежание раскрытия конфиденциальных данных в Сети.

На данный момент этот блок не поддерживается, но мы не забыли о нём!Наша команда уже занята его разработкой, он будет доступен в ближайшее время.

Утечка данных в Сеть

Эксперты Skyhigh Networks провели исследование, установив, что порядка 7% всех бакетов S3 находятся в публичном доступе. За последние несколько месяцев исследователи безопасности обнаружили большое количество компаний, данные которых просочились в Сеть как раз-таки из бакетов S3 от Amazon. Их неполный список приведён ниже:

  • Данные оборонного подрядчика Пентагона Booz Allen Hamilton, включая учётные данные сотрудников и пароли к правительственным системам;
  • Данные 14 миллионов клиентов Verizon, включая имена, адреса, детали аккаунтов, в том числе и пароли к ним;
  • Данные свыше 3 миллионов фанатов WWE, зарегистрировавшихся на официальном сайте организации;
  • Данные 198 миллионов американских избирателей;
  • Данные 2 миллионов клиентов Dow Jones;
  • Данные тысяч госслужащих и работников банков из Австралии.

Более того, общедоступные бакеты позволяли злоумышленникам просматривать и изменять их содержимое. Также неправильно сконфигурированные серверы AWS позволяли проводить атаки типа «человек посередине», при которых весь трафик клиентов перехватывался злоумышленниками.

Другие обновления безопасности Amazon

Стоит отметить, что Amazon не только добавила кнопки-предупреждения на рабочие консоли AWS, но и включила поддержку шифрования всех данных S3 по умолчанию. Подробнее узнать обо всех новых функциях можно в блоге компании.

Следите за новыми постами
Следите за новыми постами по любимым темам
323 открытий324 показов
Также рекомендуем
Обложка поста Платформа для работы с исходным кодом GitVerse получила масштабное обновление
Платформа для работы с исходным кодом GitVerse получила масштабное обновление
На платформе доступны новые инструменты, ускоряющие разработку, реализован чат в GigaCode, а пользоваться GitVerse теперь может малый и средний бизнес.
Обложка поста Как обеспечить безопасность телеграм-бота
Как обеспечить безопасность телеграм-бота
В этой статье мы поговорим о том, как обеспечить безопасность вашего телеграм-бота на Python, чтобы избежать спама, фишинга и DDoS-атак.
Обложка поста Облачная операционная система — конкурс пет-проектов
Облачная операционная система — конкурс пет-проектов
За три года написал свою облачную операционную систему на собственном языке программирования.
Обложка поста Современный программист: актуальные навыки
Современный программист: актуальные навыки
Из найма в IT к управлению собственной компанией Алексей Лихацкий шел более 10 лет. Из года в год индустрия менялась. Появлялись не только новые требования к специалистам, но и профессии. Рассказали о внешних и внутренних переменах рынка и их влиянии на нужные для специалиста навыки.