感觉就像每隔一天,另一家科技初创公司就会因为安全漏洞而红着脸在互联网上泄露大量数据。但即便是像亚马逊这样的科技巨头,也很容易犯错。
安全研究员Anurag Sen发现了一个包含 Amazon Prime 浏览习惯的数据库,该数据库存储在可从互联网访问的内部 Amazon 服务器上。但由于数据库没有密码保护,任何使用网络浏览器的人只要知道其 IP 地址就可以访问其中的数据。
Elasticsearch 数据库——命名为“Sauron”(随你便)——包含大约 2.15 亿条匿名观看数据条目,例如正在流式传输的节目或电影的名称、流式传输的设备以及其他内部数据,例如网络质量和有关其订阅的详细信息,例如他们是否是 Amazon Prime 客户。
根据互联网连接事物搜索引擎 Shodan 的说法,该数据库于 9 月 30 日首次被检测为暴露在互联网上。
令人不安的是,像亚马逊这样规模和财富的公司可能会在互联网上留下如此庞大的数据缓存数周而没有人注意到,但根据我们的评论,这些数据不能用于通过姓名识别客户的个人身份。但这一失误凸显了一个普遍存在的问题,该问题是许多数据泄露的基础——面向互联网的服务器配置错误,这些服务器在没有密码的情况下留在网上,任何人都无法访问。
Sen 提供了数据库的详细信息以确保数据安全,TechCrunch 出于谨慎考虑将信息传递给了亚马逊。不久之后,该数据库无法访问。
“Prime Video 分析服务器出现部署错误。此问题已得到解决,并且没有任何帐户信息(包括登录或付款详细信息)被暴露。这不是 AWS 问题; AWS 默认情况下是安全的,并按设计执行,”亚马逊发言人 Adam Montgomery 说。
亚马逊意外暴露了Zack Whittaker最初在TechCrunch上发布的包含 Prime Video 观看习惯的内部服务器
原文: https://techcrunch.com/2022/10/27/amazon-prime-video-server-exposed/