1億銀行用戶信息失竊之謎：黑客是怎么找到漏洞的？

上周，美國銀行第一資本金融公司宣布，公司系統(tǒng)遭到入侵，導(dǎo)致逾1億用戶信息泄露。

這是史上規(guī)模最大的銀行數(shù)據(jù)失竊案之一，成功取得這一“成就”的女子似乎利用了云系統(tǒng)中的一個漏洞。對于這個漏洞，安全專家們已經(jīng)警告了多年。

佩姬·A·湯普森(Paige A. Thompson)曾經(jīng)是亞馬遜公司云計算部門的一名員工，她在7月29日被捕，被指控實施了大規(guī)模盜竊案，竊取了1.06億第一資本用戶的記錄。第一資本表示，“一個特定配置漏洞”導(dǎo)致了數(shù)據(jù)被盜。

警告多年的漏洞

根據(jù)媒體對湯普森的數(shù)百條在線信息的分析以及對熟悉調(diào)查的知情人士的采訪，湯普森據(jù)稱找到了第一資本系統(tǒng)中的一個漏洞，利用了一些配置錯誤的網(wǎng)絡(luò)中的一個弱點。多年來，安全專家已經(jīng)就這一漏洞發(fā)出了警告。湯普森正是利用這一漏洞騙過了云端的一個系統(tǒng)，找到了供她訪問龐大銀行用戶記錄所需要的敏感憑證。

檢察官找到了據(jù)稱是湯普森的網(wǎng)絡(luò)賬號。她利用這些賬號發(fā)布在線信息稱，自己還運用這些入侵技術(shù)訪問其他機構(gòu)的重要網(wǎng)絡(luò)數(shù)據(jù)。這些信息被發(fā)布在網(wǎng)絡(luò)論壇上。

湯普森的律師尚未回復(fù)置評。她目前依舊被拘留，將于8月15日出席保釋聽證會。

湯普森此次之所以能夠入侵第一資本的系統(tǒng)，最重要的就是她顯然利用上了亞馬遜云技術(shù)的核心部分——元數(shù)據(jù)服務(wù)。元數(shù)據(jù)包含了管理云端服務(wù)器所需要的憑證和其他數(shù)據(jù)。在計算機世界里，這些憑證實際上相當(dāng)于銀行金庫的鑰匙。

“敲門”

湯普森發(fā)布的網(wǎng)絡(luò)帖子顯示，她發(fā)動此次入侵攻擊的第一步始于今年3月份。她先掃描互聯(lián)網(wǎng)尋找易受攻擊的計算機，從而訪問一家公司的內(nèi)部網(wǎng)絡(luò)。實際上，她“敲”了許多公司的“前門”，目的就是尋找未上鎖的門。

熟悉調(diào)查的知情人士稱，在第一資本數(shù)據(jù)失竊案中，她找到了一臺管理公司云端和公共網(wǎng)絡(luò)之間通訊，而且配置錯誤的計算機，也就是說這臺計算機存在安全設(shè)置弱點。于是，門被打開了。

在門被打開后，她成功申請了從亞馬遜云端的一個系統(tǒng)尋找和讀取第一資本云存儲數(shù)據(jù)所需要的憑證，也就是元數(shù)據(jù)服務(wù)。憑證就存儲在元數(shù)據(jù)服務(wù)里。

“伙計們，許多人在這一步上都做錯了?！睖丈?月27日的在線信息中稱。她指的是一些公司錯誤配置了他們的服務(wù)器。

亞馬遜監(jiān)控工具失靈？

知情人士稱，一旦她找到了第一資本的數(shù)據(jù)，她就能夠下載下來。顯然，她的入侵沒有觸發(fā)任何警報。

亞馬遜在一份聲明中稱，公司的所有服務(wù)，包括元數(shù)據(jù)服務(wù)，都不是這次入侵事件的根本原因，公司已經(jīng)提供了旨在檢測此類事故的監(jiān)控工具。目前還不清楚為何這些報警工具似乎均未觸發(fā)第一資本的警報鈴。

▲湯普森從元數(shù)據(jù)服務(wù)中獲取憑證

美國聯(lián)邦調(diào)查局(FBI)的一份宣誓書顯示，第一資本的一個錯誤導(dǎo)致了入侵事件的發(fā)生。第一資本稱，公司現(xiàn)在已經(jīng)修復(fù)了配置問題。

一些安全專家稱，亞馬遜應(yīng)該在這些配置錯誤上采取更多措施來警告其客戶。其他人則表示，鑒于云安全是大家共同的責(zé)任，企業(yè)客戶也必須做好自己的本分工作。亞馬遜已表示，公司推出了多款工具來幫助企業(yè)緩解配置上的疏忽。

漏洞在2014年就已曝光

美國檢察官稱，湯普森從3月12日啟動了她的入侵行動，但是第一資本一直渾然不知，直到127天后一位外部研究人員告知他們才發(fā)現(xiàn)系統(tǒng)遭到入侵。

亞馬遜云安全企業(yè)顧問斯科特·皮珀(Scott Piper)稱，最晚從2014年以來，安全專家就已經(jīng)知道了這些錯誤配置問題中的一種，它允許黑客從元數(shù)據(jù)服務(wù)中竊取憑證。他表示，亞馬遜認(rèn)為根除這些問題是客戶的責(zé)任，但是一些客戶未能解決問題。

安全研究人員布萊南·托馬斯(Brennon Thomas)在3月份實施了一次互聯(lián)網(wǎng)掃描，發(fā)現(xiàn)逾800個亞馬遜賬號允許外部進(jìn)行類似的元數(shù)據(jù)服務(wù)訪問。亞馬遜云計算服務(wù)擁有100多萬用戶。

托馬斯稱，配置錯誤的服務(wù)器導(dǎo)致外部人士訪問敏感元數(shù)據(jù)，這個問題并不局限于亞馬遜AWS云計算服務(wù)。他的測試還發(fā)現(xiàn)，運行在微軟云端的系統(tǒng)也存在問題。微軟尚未置評。

注重云安全依舊遭入侵

對于一些研究人員來說，第一資本成為黑客入侵的受害者令人意外。第一資本管理人員稱，在2015年決定擁抱云服務(wù)以前，公司進(jìn)行了大量盡職調(diào)查?！霸谠瓢踩珮I(yè)內(nèi)人士眼里，第一資本非常注重云安全，擁有業(yè)內(nèi)最強大的安全團隊之一?！逼ょ攴Q。

第一資本數(shù)據(jù)泄露事件并不是第一次存儲在云端的數(shù)據(jù)被盜。但是，作為美國第五大信用卡發(fā)卡商，第一資本遭入侵再次讓外界對云計算的安全產(chǎn)生擔(dān)憂。第一資本是云計算的早期采用者，被列為亞馬遜AWS網(wǎng)站上的一個案例研究。

美聯(lián)儲并未受到此次攻擊事件的波及。據(jù)媒體報道，美聯(lián)儲一直在審視使用云系統(tǒng)存儲敏感財政記錄一事。

湯普森在一個帖子中暗示，她還嘗試?yán)眠@一技術(shù)入侵其他公司的云計算賬號，包括意大利聯(lián)合信貸銀行(UniCredit SpA)和福特汽車。聯(lián)合信貸銀行和福特均表示，他們正在調(diào)查這一事件。FBI還啟動了對其他目標(biāo)的調(diào)查，他們懷疑這些目標(biāo)可能也遭到了湯普森的攻擊。

如果湯普森不在網(wǎng)上發(fā)布她的入侵細(xì)節(jié)，她的行動被發(fā)現(xiàn)可能還需要遠(yuǎn)遠(yuǎn)更長的時間。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。