數百個亞馬遜RDS泄露了用戶信息

安全公司 Mitiga 最新發現顯示，亞馬遜關系型數據庫服務（Amazon RDS）上數百個數據庫正在暴露用戶個人身份信息（PII）。

安全研究員 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在與 The Hacker News 分享的報告中表示，泄露的數據庫中包含用戶姓名、電子郵件地址、電話號碼、出生日期、婚姻狀況、汽車租賃信息，甚至是公司登錄信息，如此詳細的用戶數據，為潛在攻擊者提供了豐富的“素材”。

亞馬遜 RDS 是一項 Web 服務，可以在亞馬遜網絡服務（AWS）云中建立關系型數據庫。不僅如此，RDS 還支持不同的數據庫引擎，例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

亞馬遜 RDS 數據泄露事件詳情

此次亞馬遜 RDS 用戶個人數據泄漏事件源于一個稱為公共 RDS 快照的功能，該功能允許創建一個在云中運行數據庫的環境備份，并且可以被所有 AWS 賬戶訪問。

亞馬遜方面表示，當用戶準備把快照分享為公共快照時，請確保公共快照中不包括自身私人信息，一旦快照被公開共享時，會給予所有 AWS 賬戶復制快照和從中創建 DB 實例的權限。

2022 年 9 月 21 日至 10 月 20 日期間，安全研究人員進行了細致實驗，最后發現實驗的 810 張快照在不同時間段（從幾小時到幾周）內被公開分享，照片很容易被惡意行攻擊濫用。

在這 810 張快照中，有超過 250 個備份暴露了 30 天，側面反映它們很可能已經被遺忘了。

根據所暴露信息的特殊性質，潛在攻擊者可以竊取數據以期獲取經濟利益，或利用數據信息來更好地掌握用戶所屬公司的 IT 環境。

因此，亞馬遜強烈建議用戶不要開啟 RDS 快照公開訪問權限，以防止敏感數據的潛在泄漏、濫用或任何其他類型的安全威脅。當然，最好在適當的時候對快照進行加密。

參考文章：

https://thehackernews.com/2022/11/researchers-discover-hundreds-of-amazon.html