這是史上規模最大的銀行數據失竊案之一，成功取得這一「成就」的女子似乎利用了雲系統中的一個漏洞。對於這個漏洞，安全專家們已經警告了多年。

作者/來源： 安華金和

上周，美國銀行第一資本金融公司宣布，公司系統遭到入侵，導致逾 1 億用戶信息泄露。這是史上規模最大的銀行數據失竊案之一，成功取得這一「成就」的女子似乎利用了雲系統中的一個漏洞。對於這個漏洞，安全專家們已經警告了多年。

佩姬·A·湯普森(Paige A. Thompson)曾經是亞馬遜公司雲計算部門的一名員工，她在 7 月 29 日被捕，被指控實施了大規模盜竊案，竊取了 1.06億第一資本用戶的記錄。第一資本表示，「一個特定配置漏洞」導致了數據被盜。

警告多年的漏洞

根據媒體對湯普森的數百條在線信息的分析以及對熟悉調查的知情人士的採訪，湯普森據稱找到了第一資本系統中的一個漏洞，利用了一些配置錯誤的網路中的一個弱點。多年來，安全專家已經就這一漏洞發出了警告。湯普森正是利用這一漏洞騙過了雲端的一個系統，找到了供她訪問龐大銀行用戶記錄所需要的敏感憑證。

檢察官找到了據稱是湯普森的網路賬號。她利用這些賬號發布在線信息稱，自己還運用這些入侵技術訪問其他機構的重要網路數據。這些信息被發布在網路論壇上。

湯普森此次之所以能夠入侵第一資本的系統，最重要的就是她顯然利用上了亞馬遜雲技術的核心部分——元數據服務。元數據包含了管理雲端伺服器所需要的憑證和其他數據。在計算機世界裡，這些憑證實際上相當於銀行金庫的鑰匙。

「敲門」

湯普森發布的網路帖子顯示，她發動此次入侵攻擊的第一步始於今年 3 月份。她先掃描互聯網尋找易受攻擊的計算機，從而訪問一家公司的內部網路。實際上，她「敲」了許多公司的「前門」，目的就是尋找未上鎖的門。

熟悉調查的知情人士稱，在第一資本數據失竊案中，她找到了一台管理公司雲端和公共網路之間通訊，而且配置錯誤的計算機，也就是說這台計算機存在安全設置弱點。於是，門被打開了。

在門被打開後，她成功申請了從亞馬遜雲端的一個系統尋找和讀取第一資本雲存儲數據所需要的憑證，也就是元數據服務。憑證就存儲在元數據服務里。

「夥計們，許多人在這一步上都做錯了。」湯普森在 6 月 27 日的在線信息中稱。她指的是一些公司錯誤配置了他們的伺服器。

亞馬遜監控工具失靈？

知情人士稱，一旦她找到了第一資本的數據，她就能夠下載下來。顯然，她的入侵沒有觸發任何警報。

亞馬遜在一份聲明中稱，公司的所有服務，包括元數據服務，都不是這次入侵事件的根本原因，公司已經提供了旨在檢測此類事故的監控工具。目前還不清楚為何這些報警工具似乎均未觸發第一資本的警報鈴。

漏洞在 2014 年就已曝光

美國檢察官稱，湯普森從 3 月 12 日啟動了她的入侵行動，但是第一資本一直渾然不知，直到 127 天后一位外部研究人員告知他們才發現系統遭到入侵。

亞馬遜雲安全企業顧問 斯科特·皮珀(Scott Piper)稱，最晚從 2014 年以來，安全專家就已經知道了這些錯誤配置問題中的一種，它允許黑客從元數據服務中竊取憑證。他表示，亞馬遜認為根除這些問題是客戶的責任，但是一些客戶未能解決問題。

安全研究人員 布萊南·托馬斯(Brennon Thomas)在3月份實施了一次互聯網掃描，發現逾 800 個亞馬遜賬號允許外部進行類似的元數據服務訪問。亞馬遜雲計算服務擁有 100 多萬用戶。

托馬斯稱，配置錯誤的伺服器導致外部人士訪問敏感元數據，這個問題並不局限於亞馬遜 AWS 雲計算服務。他的測試還發現，運行在微軟雲端的系統也存在問題。微軟尚未置評。

來源：鳳凰網科技

更多資訊

NVIDIA 顯卡驅動曝出 5 個高危漏洞：升級最新 431.60 版本可解決NVIDIA 今天發布安全公告稱，在目前的 Windows 顯卡驅動中發現了 5 個高危級別的安全漏洞，都非常的危險。這些漏洞波及 GeForce、Quadro、NVS、Tesla 等各條產品線，分別涉及用戶模式驅動、DirectX 驅動、內核模式層（nvlddmkm.sys）等方面，可導致本地代碼執行、DoS拒絕服務攻擊、許可權提升等，操作系統則影響 Windows 7、Windows 8.1、Windows 10。

來源：快科技

詳情鏈接： https://www.dbsec.cn/blog/article/4855.html

Facebook、WhatsApp、Instagram 出現全球大範圍宕機Facebook 及其關聯服務 WhatsApp、Instagram 均出現宕機情況。根據用戶在推特上的反饋和吐槽，本次宕機問題覆蓋全球，目前還沒有來自 Facebook 的官方公告。部分用戶抱怨無法查看好友的狀態，還有部分用戶表示無法打開 Facebook 和Facebook Messanger。

來源：cnBeta.COM

詳情鏈接： https://www.dbsec.cn/blog/article/4856.html

Chrome 地址欄默認不展示 HTTPS 和 WWW從最近發布的 Chrome 69 開始，桌面版和移動版的地址欄默認不再顯示 HTTPS 和 WWW。如果用戶想要查看完整的網址，桌面版需要點擊兩次，移動版需要點擊一次。Google 此舉旨在簡化和提高 Chrome 的可用性。但 Google 此舉再次招致了批評。

來源：solidot.org

詳情鏈接： https://www.dbsec.cn/blog/article/4857.html

錯誤的 JIRA 配置導致數百家財富 500 強公司的數據泄露來自國外的開發者 Avinash Jain 在8月2日時發表了一篇文章，揭露全球範圍內使用非常廣泛的問題跟蹤軟體 JIRA 由於錯誤的配置導致成千上萬的公司泄露了內部的員工以及項目數據的問題。Jain 同時提供了如何去找出這些存在漏洞的 JIRA 系統的方法。

來源：開源中國

詳情鏈接： https://www.dbsec.cn/blog/article/4859.html

（信息來源於網路，安華金和搜集整理）

點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！