Hàng trăm bản sao nhạy cảm trên dịch vụ đám mây của Amazon bị rò rỉ

Tạ Lê Trúc Quỳnh16:05 11/08/2019

Nếu bạn thường xuyên sử dụng tính năng snapshop (tạo bản sao dự phòng) các dữ liệu nhạy cảm của doanh nghiệp thông qua dịch vụ Elastic Block Store (EBS) của Amazon thì có lẽ đã đến lúc bạn nên kiểm tra lại các thiết lập của mình.

Lưu trữ đám mây không an toàn như bạn tưởng – Ảnh: Amazon

Theo mô tả trên trang chủ của Amazon bằng tiếng Việt, “EBS là một dịch vụ lưu trữ dạng khối dễ sử dụng và hiệu năng cao, được thiết kế để sử dụng với Amazon Elastic Compute Cloud (EC2) cho các khối lượng công việc đòi hỏi tốc độ giao dịch và thông lượng cao ở mọi quy mô”, nói cách khác đây là một tính năng đám mây hướng tới mảng doanh nghiệp.

Tuy nhiên, nghiên cứu mới vừa được trình bày tại Hội nghị bảo mật Def Con cho thấy, hiện có hàng trăm bản sao lưu dạng snapshot từ dịch vụ này đã “vô tình” bị rò rỉ và không ít trong số đó là dữ liệu nhạy cảm.

Trước đó, có thể bạn từng nghe về việc rò rỉ dữ liệu trên các máy chủ S3 của Amazon do quá trình đóng gói dữ liệu của khách hàng bị cấu hình sai và vô tình bị chuyển về chế độ “public” (công cộng) khiến ai cũng có thể truy cập. Nhưng bạn chắc chưa bao giờ nghĩ rằng đến cả các bản sao lưu snapshot của EBS cũng bị lộ, gây ra những rủi ro còn lớn hơn cả vụ rò rỉ S3 trước đó.

Video đang HOT

Ông Ben Morris – một nhà phân tích bảo mật cao cấp của công ty an ninh mạng Bishop Fox nhận định rằng, các bản sao EBS này là “chìa khóa” mở toang cánh cửa bí mật của các công ty, do nó lưu trữ tất cả dữ liệu cho các ứng dụng đám mây, do vậy ai nắm được nó sẽ có quyền truy cập vào cơ sở dữ liệu và thông tin của khách hàng. “Sau khi formart dữ liệu trên ổ cứng, bạn thường băm nhỏ hoặc xóa sạch nó hoàn toàn. Nhưng các khối EBS này lại chứa nguyên đống dữ liệu nhạy cảm và sẽ rất nguy hiểm nếu người ngoài “tóm” được nó”.

Sở dĩ xảy ra điều này do các quản trị viên mảng đám mây (cloud) của Amazon thường xuyên chọn sai cấu hình cài đặt, khiến các bản sao EBS vô tình bị chuyển về dạng công khai với mọi người và không được mã hóa. Nghĩa là bất cứ ai trên internet cũng có thể tải xuống nguyên (bản sao) ổ cứng của bạn, sau đó phục hồi lại nó trên máy tính của họ và bắt đầu lục lọi dữ liệu của bạn.

Một slide của Morris tại hội nghị bảo mật Def Con mô tả cách thức tạo bản sao snapshot của EBS

Theo TechCrunch, Morris đã xây dựng một công cụ dựa trên tính năng tìm kiếm nội bộ của Amazon để truy vấn và quét các ảnh chụp nhanh EBS bị vô tình chuyển sang chế độ công khai, sau đó đính kèm và tạo một bản sao rồi liệt kê nội dung của chúng trên hệ thống của ông. Sau thử nghiệm này, Morris cho biết, “nếu bạn vô tình để lộ (bản sao) ổ đĩa trong vài phút, công cụ của tôi có thể “tóm” nó và tạo ra một bản sao gần như tức thì”.

Ông đã mất vài tháng để xây dựng cơ sở dữ liệu về các bản sao bị lộ và chỉ mất vài trăm USD sử dụng dịch vụ đám mây của Amazon để làm việc ấy. Sau khi xác nhận các bản sao, ông sẽ xóa dữ liệu. Qua đó, Morris đã tìm thấy hàng tá bảo sao nhanh dạng snapshot bị phơi bày trong một số lĩnh vực, bao gồm cả khóa ứng dụng, thông tin quản trị hoặc người dùng quan trọng, mã nguồn… Thậm chí, ông còn tìm thấy bản sao dữ liệu của một số công ty lớn về chăm sóc sức khỏe và công nghệ.

Morris tiết lộ, ông còn tìm thấy các cấu hình VPN bí mật mà qua đó cho phép ông dễ dàng thâm nhập vào mạng một công ty. Tuy nhiên, ông không sử dụng dữ liệu hay xác thực nhạy cảm nào để tránh dính tới các vấn đề pháp lý.

Theo ước tính của Morris, có khoảng 1.250 bản sao snapshot của các công ty bị lộ trên dịch vụ đám mây của Amazon. Dự kiến, ông sẽ phát hành thông tin thu thập được để làm bằng chứng của vụ rò rỉ này trong vài tuần tới. Ông nhắn nhủ, “tôi cho các công ty vài tuần để kiểm tra lại các cài đặt lưu trữ đám mây của họ trước khi công khai chúng”.

Theo thanh niên

Lầu Năm Góc xem xét lại vụ đấu thầu cung cấp công nghệ điện toán đám mây

Lầu Năm Góc ngày 1/8 thông báo tạm thời chưa đưa ra quyết định về việc trao hợp đồng cung cấp công nghệ điện toán đám mây trị giá 10 tỷ USD cho hãng công nghệ Amazon.

Và cho biết tân Bộ trưởng Quốc phòng Mark Esper sẽ xem xét lại quá trình đầu thấu sau khi có ý kiến phàn nàn của các công ty công nghệ.

Người phát ngôn của Bộ Quốc phòng Mỹ Elissa Smith cho hay Bộ trưởng Esper đang xem xét chương trình Liên doanh hạ tầng dữ liệu đám mây quốc phòng (JEDI) và sẽ không có quyết định nào được đưa ra cho đến khi ông Esper hoàn tất quá trình này. Quyết định trên được đưa ra sau khi ông Esper được bổ nhiệm làm Bộ trưởng Quốc phòng Mỹ.

Toàn cảnh tòa nhà Lầu Năm góc ở Washington, DC. Ảnh: AFP/TTXVN

Trước đó, ngoài Amazon, Microsoft cùng nhiều hãng công nghệ khác như Google, Oracle hay IBM cũng đã tham gia đấu thầu dự án cung cấp công nghệ điện toán đám mây trên. Amazon và Microsoft sau đó đã lọt danh sách cuối cùng đáp ứng yêu cầu của Bộ Quốc phòng Mỹ cho dự án này, trong khi Google từ bỏ nỗ lực đấu thầu. Đã nhiều ý kiến cho rằng quá trình đấu thầu có lợi cho Amazon -"gã khổng lồ" công nghệ có trụ sở tại Seattle, Mỹ.

Cụ thể, Oracle đã nghi ngờ vai trò của một nhân viên Amazon, vốn trước đây từng làm việc cho dự án JEDI, sau đó nghỉ việc tại Bộ Quốc phòng và quay trở lại làm việc cho Amazon Web Services -một công ty con của Amazon.

Trong trả lời phỏng vấn hồi năm ngoái, nhà sáng lập Amazon Jeff Bezos đã bảo vệ vai trò của Amazon trong dự án trên, cho rằng đây là điều quan trọng trong việc hỗ trợ dự án quốc phòng Mỹ.

JEDI là một phần trong nỗ lực hiện đại hóa hệ thống công nghệ thông tin của Lầu Năm Góc. Quyết định trên khiến dự án không thể đi vào hoạt động vào tháng 8 này như dự kiến.

Theo Thông Tấn Xã Việt Nam

Apple vừa cho người dùng thêm động lực mua iPhone thay vì Android Với iOS 12.4, việc cài đặt iPhone mới trở nên dễ dàng hơn bao giờ hết, không cần iCloud, không tốn công sức kể cả khi khách hàng 'mù' công nghệ. Apple vừa phát hành iOS 12.4 cho iPhone, iPad được vài ngày. Trong số các cập nhật mới, có một tính năng giúp bạn dễ dàng chuyển dữ liệu từ iPhone cũ...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Doãn Hải My cứ hát là hút triệu view, xuất sắc thế nào mà dân mạng tấm tắc "Đoàn Văn Hậu chọn vợ quá đỉnh"01:01

Việt Hương đăng video đòi nợ, Vân Dung 'đe doạ' Chí Trung00:32

5 thanh niên nằm ngủ giữa nhà và sự xuất hiện của người đàn ông lúc rạng sáng khiến tất cả vùng dậy01:08

Phương Nhi đang nhặt rác ở biển thì được mai mối, con dâu tỷ phú có màn đối đáp được khen EQ kịch trần00:23

"Hoàng tử" SOOBIN làm một điều khiến khán giả há hốc05:47

Clip thanh niên tông người phụ nữ văng ra đường rồi lên xe bỏ chạy, dân mạng tìm ra chi tiết khó thoát00:35

Soi cận căn hộ sang chảnh, "đậm mùi tiền" của Hoa hậu Đỗ Hà tại Hà Nội01:22

1 sao nam bị Lê Dương Bảo Lâm đuổi khéo khỏi thảm đỏ, lý do chuẩn đến mức không ai cãi nổi00:47

Clip Luna Đào vừa đến Trấn Thành liền rời thảm đỏ, cái liếc mắt chưa đến 2 giây bị camera bắt gọn00:23

Negav lộ diện ở Bộ Tứ Báo Thủ, Trấn Thành khẳng định: "Những điều đã xảy ra thì không thể thay đổi"02:09

Chuyện lạ có thật: Chó mẹ mang con đến phòng khám để cầu cứu01:24

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn