close

超過四萬筆Amazon S3 的public bucket URL被公布.png

TWCERT/CC近日接獲情資,超過四萬筆Amazon Simple Storage Service(Amazon S3)的public bucket URL已被公開於GitHub。

Amazon S3是一種雲端儲存服務,通常拿來備份伺服器、日誌及檔案。Amazon S3 雖然設定public bucket,但還是需要知道URL才能下載。本次情資的揭露可能讓有心人士透過URL下載檔案,甚至包括帶有敏感的個人隱私資料。其手法可透過http://[bucket_name].s3.amazonaws.com/<Key>對檔名為Key的檔案進行下載。

建議措施:

  1. 修改AWS Identity and Access Management(IAM)Policy來限制訪問的對象。
  2. 修改設定以禁止Amazon S3 公用存取。

public bucket URL.jpg

public bucket URL

URL之XML內容與檔案名稱.jpg

URL之XML內容與檔案名稱

  • 參考資料:

https://aws.amazon.com/tw/s3/faqs/

https://aws.amazon.com/tw/premiumsupport/knowledge-center/secure-s3-resources/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Amazon Simple Storage Service S3 public bucket URL GitHub
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄