出品:凤凰网科技 凤凰新闻客户端,作者:箫雨
上周,美国银行第一资本金融公司宣布,公司系统遭到入侵,导致逾 1 亿用户信息泄露。
这是史上规模最大的银行数据失窃案之一,成功取得这一“成就”的女子似乎利用了云系统中的一个漏洞。对于这个漏洞,安全专家们已经警告了多年。
佩姬·A·汤普森(Paige A. Thompson)曾经是亚马逊公司云计算部门的一名员工,她在 7 月 29 日被捕,被指控实施了大规模盗窃案,窃取了 1.06 亿第一资本用户的记录。第一资本表示,“一个特定配置漏洞”导致了数据被盗。
警告多年的漏洞
根据媒体对汤普森的数百条在线信息的分析以及对熟悉调查的知情人士的采访,汤普森据称找到了第一资本系统中的一个漏洞,利用了一些配置错误的网络中的一个弱点。多年来,安全专家已经就这一漏洞发出了警告。汤普森正是利用这一漏洞骗过了云端的一个系统,找到了供她访问庞大银行用户记录所需要的敏感凭证。
检察官找到了据称是汤普森的网络账号。她利用这些账号发布在线信息称,自己还运用这些入侵技术访问其他机构的重要网络数据。这些信息被发布在网络论坛上。
汤普森的律师尚未回复置评。她目前依旧被拘留,将于 8 月 15 日出席保释听证会。
汤普森此次之所以能够入侵第一资本的系统,最重要的就是她显然利用上了亚马逊云技术的核心部分——元数据服务。元数据包含了管理云端服务器所需要的凭证和其他数据。在计算机世界里,这些凭证实际上相当于银行金库的钥匙。
“敲门”
汤普森发布的网络帖子显示,她发动此次入侵攻击的第一步始于今年 3 月份。她先扫描互联网寻找易受攻击的计算机,从而访问一家公司的内部网络。实际上,她“敲”了许多公司的“前门”,目的就是寻找未上锁的门。
熟悉调查的知情人士称,在第一资本数据失窃案中,她找到了一台管理公司云端和公共网络之间通讯,而且配置错误的计算机,也就是说这台计算机存在安全设置弱点。于是,门被打开了。
在门被打开后,她成功申请了从亚马逊云端的一个系统寻找和读取第一资本云存储数据所需要的凭证,也就是元数据服务。凭证就存储在元数据服务里。
“伙计们,许多人在这一步上都做错了。”汤普森在 6 月 27 日的在线信息中称。她指的是一些公司错误配置了他们的服务器。
亚马逊监控工具失灵?
知情人士称,一旦她找到了第一资本的数据,她就能够下载下来。显然,她的入侵没有触发任何警报。
亚马逊在一份声明中称,公司的所有服务,包括元数据服务,都不是这次入侵事件的根本原因,公司已经提供了旨在检测此类事故的监控工具。目前还不清楚为何这些报警工具似乎均未触发第一资本的警报铃。
美国联邦调查局(FBI)的一份宣誓书显示,第一资本的一个错误导致了入侵事件的发生。第一资本称,公司现在已经修复了配置问题。
一些安全专家称,亚马逊应该在这些配置错误上采取更多措施来警告其客户。其他人则表示,鉴于云安全是大家共同的责任,企业客户也必须做好自己的本分工作。亚马逊已表示,公司推出了多款工具来帮助企业缓解配置上的疏忽。
漏洞在 2014 年就已曝光
美国检察官称,汤普森从 3 月 12 日启动了她的入侵行动,但是第一资本一直浑然不知,直到 127 天后一位外部研究人员告知他们才发现系统遭到入侵。
亚马逊云安全企业顾问斯科特·皮珀(Scott Piper)称,最晚从 2014 年以来,安全专家就已经知道了这些错误配置问题中的一种,它允许黑客从元数据服务中窃取凭证。他表示,亚马逊认为根除这些问题是客户的责任,但是一些客户未能解决问题。
安全研究人员布莱南·托马斯(Brennon Thomas)在 3 月份实施了一次互联网扫描,发现逾 800 个亚马逊账号允许外部进行类似的元数据服务访问。亚马逊云计算服务拥有 100 多万用户。
托马斯称,配置错误的服务器导致外部人士访问敏感元数据,这个问题并不局限于亚马逊 AWS 云计算服务。他的测试还发现,运行在微软云端的系统也存在问题。微软尚未置评。
注重云安全依旧遭入侵
对于一些研究人员来说,第一资本成为黑客入侵的受害者令人意外。第一资本管理人员称,在 2015 年决定拥抱云服务以前,公司进行了大量尽职调查。“在云安全业内人士眼里,第一资本非常注重云安全,拥有业内最强大的安全团队之一。”皮珀称。
第一资本数据泄露事件并不是第一次存储在云端的数据被盗。但是,作为美国第五大信用卡发卡商,第一资本遭入侵再次让外界对云计算的安全产生担忧。第一资本是云计算的早期采用者,被列为亚马逊 AWS 网站上的一个案例研究。
美联储并未受到此次攻击事件的波及。据媒体报道,美联储一直在审视使用云系统存储敏感财政记录一事。
汤普森在一个帖子中暗示,她还尝试利用这一技术入侵其他公司的云计算账号,包括意大利联合信贷银行(UniCredit SpA)和福特汽车。联合信贷银行和福特均表示,他们正在调查这一事件。FBI 还启动了对其他目标的调查,他们怀疑这些目标可能也遭到了汤普森的攻击。
如果汤普森不在网上发布她的入侵细节,她的行动被发现可能还需要远远更长的时间。