AWS S3存储桶错误配置――百万个人信息泄露


本文摘自PHP中文网,作者V,侵删。

一、AWS S3存储桶的错误配置致使数百万个人信息(PII)可被获取

起初我在测试目标网站的时候,未发现任何高风险漏洞,经过近一个小时的探测分析,我发现存在一些无关紧要的IDOR和XSS漏洞,没有高危漏洞。正当我打算要放弃的时候,我发现目标网站使用了Amazon Cloudfront服务来存储公共图片,其存储 URL链接形如以下:

https://d3ez8in977xyz.cloudfront.net/avatars/009afs8253c47248886d8ba021fd411f.jpg

一开始,我认为这只是一个开放的在线数据服务,我随手访问了https://d3ez8in977xyz.cloudfront.net网站,发现其中存储了一些公开的图片文件,但是….,我惊讶地发现,除了这些图片文件之外,其中还存储了一些敏感的个人数据信息,如:语音聊天内容、音频通话内容、短信内容和其它用户隐私文件。

要命的是,这些敏感文件中的存储内容几乎都是病人与医生之间的谈话信息。

由于该公司的不同域名对应不同的AWS存储桶,因此我转向去发现其它域名的公共图片存储,果不其然,它对应的每个存储桶中都存储有成千的个人数据信息,当时我没做具体核算,后期经了解该公司客户达数百万。以下是其一张包含个人信息的图例:

阅读剩余部分

相关阅读 >>

centos mysql安装配置

教你如何给虚拟机配置静态ip地址

supervisor是如何安装配置的?

在ubuntu 下用vim 搭建python 环境 配置

AWS s3存储桶错误配置――百万个人信息泄露

linux服务器初始化配置流程

虚拟机实现静态ip登录的实例介绍

配置安装rsync教程

linux中如何配置ftp服务器

centos7配置自定义jdk的方法

更多相关阅读请进入《AWS》频道 >>



打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,您说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

评论

管理员已关闭评论功能...