เซิร์ฟเวอร์จัดเก็บข้อมูลของ Amazon Web Services มีการกำหนดค่าผิดพลาดทำให้ข้อมูลของผู้เช่าบริการรั่วไหลไปยังอินเทอร์เน็ต ดังนั้นบริษัทที่ใช้บริการ AWS S3 เพื่อจัดเก็บข้อมูลจึงมีความเสี่ยงที่จะถูกเปิดเผยข้อมูลที่เป็นความลับ เช่น ข้อมูลส่วนตัวของลูกค้า
ในรายงานที่ออกมาโดยที่ปรึกษาด้านความปลอดภัย Fryss Rosen จาก Detectify กล่าวว่าผู้ดูแลระบบเครือข่ายที่เช่าบริการ AWS S3 มักจะหละหลวมในการกำหนดค่า Access Control Lists (ACL) ของ AWS และผลที่ได้ก็ร้ายแรง Rosen ยืนยันว่ามีข้อผิดพลาดในเซิร์ฟเวอร์ AWS ที่ช่วยให้ผู้โจมตีสามารถระบุชื่อของ bucket S3 ได้ จากนั้นจะใช้ AWS Command Line เพื่อติดต่อกับ Amazon’s API โดยตรง แล้วผู้โจมตีสามารถเข้าถึงรายการ S3 list และอ่าน เขียน อัปโหลดไฟล์ลงใน bucket S3 หรือสามารถเปลี่ยนสิทธิ์การเข้าถึงโดยที่เจ้าหน้าที่ไม่สังเกตเห็น
การแก้ปัญหาทำได้ง่ายๆ เพราะ AWS มีเครื่องมือที่จะเปลี่ยนสิทธิ์ใน buckets และจำกัดสิทธิ์การเข้าถึงโดยทำตามขั้นตอนใน Link ต่อไปนี้ https://docs.aws.amazon.com/AmazonS3/latest/UG/EditingBucketPermissions.html
You must be logged in to post a comment.