安全公司 Mitiga 最新發(fā)現(xiàn)顯示，亞馬遜關(guān)系型數(shù)據(jù)庫服務(wù)（Amazon RDS）上數(shù)百個數(shù)據(jù)庫正在暴露用戶個人身份信息（PII）。

安全研究員 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在與 The Hacker News 分享的報告中表示，泄露的數(shù)據(jù)庫中包含用戶姓名、電子郵件地址、電話號碼、出生日期、婚姻狀況、汽車租賃信息，甚至是公司登錄信息，如此詳細(xì)的用戶數(shù)據(jù)，為潛在攻擊者提供了豐富的“素材”。

亞馬遜 RDS 是一項 Web 服務(wù)，可以在亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）云中建立關(guān)系型數(shù)據(jù)庫。不僅如此，RDS 還支持不同的數(shù)據(jù)庫引擎，例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

亞馬遜 RDS 數(shù)據(jù)泄露事件詳情

此次亞馬遜 RDS 用戶個人數(shù)據(jù)泄漏事件源于一個稱為公共 RDS 快照的功能，該功能允許創(chuàng)建一個在云中運(yùn)行數(shù)據(jù)庫的環(huán)境備份，并且可以被所有 AWS 賬戶訪問。

亞馬遜方面表示，當(dāng)用戶準(zhǔn)備把快照分享為公共快照時，請確保公共快照中不包括自身私人信息，一旦快照被公開共享時，會給予所有 AWS 賬戶復(fù)制快照和從中創(chuàng)建 DB 實例的權(quán)限。

2022 年 9 月 21 日至 10 月 20 日期間，安全研究人員進(jìn)行了細(xì)致實驗，最后發(fā)現(xiàn)實驗的 810 張快照在不同時間段（從幾小時到幾周）內(nèi)被公開分享，照片很容易被惡意行攻擊濫用。

在這 810 張快照中，有超過 250 個備份暴露了 30 天，側(cè)面反映它們很可能已經(jīng)被遺忘了。

根據(jù)所暴露信息的特殊性質(zhì)，潛在攻擊者可以竊取數(shù)據(jù)以期獲取經(jīng)濟(jì)利益，或利用數(shù)據(jù)信息來更好地掌握用戶所屬公司的 IT 環(huán)境。

因此，亞馬遜強(qiáng)烈建議用戶不要開啟 RDS 快照公開訪問權(quán)限，以防止敏感數(shù)據(jù)的潛在泄漏、濫用或任何其他類型的安全威脅。當(dāng)然，最好在適當(dāng)?shù)臅r候?qū)煺者M(jìn)行加密。