1 億銀行使用者資訊失竊之謎:黑客是怎麼找到漏洞的?

安華金和發表於2019-08-06

上週,美國銀行第一資本金融公司宣佈,公司系統遭到入侵,導致逾 1 億使用者資訊洩露。這是史上規模最大的銀行資料失竊案之一,成功取得這一“成就”的女子似乎利用了雲系統中的一個漏洞。對於這個漏洞,安全專家們已經警告了多年。

佩姬·A·湯普森Paige A. Thompson曾經是亞馬遜公司雲端計算部門的一名員工,她在 7 月 29 日被捕,被指控實施了大規模盜竊案,竊取了 1.06億第一資本使用者的記錄。第一資本表示,“一個特定配置漏洞”導致了資料被盜。

警告多年的漏洞

根據媒體對湯普森的數百條線上資訊的分析以及對熟悉調查的知情人士的採訪,湯普森據稱找到了第一資本系統中的一個漏洞,利用了一些配置錯誤的網路中的一個弱點。多年來,安全專家已經就這一漏洞發出了警告。湯普森正是利用這一漏洞騙過了雲端的一個系統,找到了供她訪問龐大銀行使用者記錄所需要的敏感憑證。

檢察官找到了據稱是湯普森的網路賬號。她利用這些賬號釋出線上資訊稱,自己還運用這些入侵技術訪問其他機構的重要網路資料。這些資訊被髮布在網路論壇上。

湯普森此次之所以能夠入侵第一資本的系統,最重要的就是她顯然利用上了亞馬遜雲技術的核心部分——後設資料服務。後設資料包含了管理雲端伺服器所需要的憑證和其他資料。在計算機世界裡,這些憑證實際上相當於銀行金庫的鑰匙。

“敲門”

湯普森釋出的網路帖子顯示,她發動此次入侵攻擊的第一步始於今年 3 月份。她先掃描網際網路尋找易受攻擊的計算機,從而訪問一家公司的內部網路。實際上,她“敲”了許多公司的“前門”,目的就是尋找未上鎖的門。

熟悉調查的知情人士稱,在第一資本資料失竊案中,她找到了一臺管理公司雲端和公共網路之間通訊,而且配置錯誤的計算機,也就是說這臺計算機存在安全設定弱點。於是,門被開啟了。

在門被開啟後,她成功申請了從亞馬遜雲端的一個系統尋找和讀取第一資本雲端儲存資料所需要的憑證,也就是後設資料服務。憑證就儲存在後設資料服務裡。

“夥計們,許多人在這一步上都做錯了。”湯普森在 6 月 27 日的線上資訊中稱。她指的是一些公司錯誤配置了他們的伺服器。

亞馬遜監控工具失靈?

知情人士稱,一旦她找到了第一資本的資料,她就能夠下載下來。顯然,她的入侵沒有觸發任何警報。

亞馬遜在一份宣告中稱,公司的所有服務,包括後設資料服務,都不是這次入侵事件的根本原因,公司已經提供了旨在檢測此類事故的監控工具。目前還不清楚為何這些報警工具似乎均未觸發第一資本的警報鈴。

漏洞在 2014 年就已曝光

美國檢察官稱,湯普森從 3 月 12 日啟動了她的入侵行動,但是第一資本一直渾然不知,直到 127 天后一位外部研究人員告知他們才發現系統遭到入侵。

亞馬遜雲安全企業顧問斯科特·皮珀Scott Piper稱,最晚從 2014 年以來,安全專家就已經知道了這些錯誤配置問題中的一種,它允許黑客從後設資料服務中竊取憑證。他表示,亞馬遜認為根除這些問題是客戶的責任,但是一些客戶未能解決問題。

安全研究人員布萊南·托馬斯Brennon Thomas在3月份實施了一次網際網路掃描,發現逾 800 個亞馬遜賬號允許外部進行類似的後設資料服務訪問。亞馬遜雲端計算服務擁有 100 多萬使用者。

托馬斯稱,配置錯誤的伺服器導致外部人士訪問敏感後設資料,這個問題並不侷限於亞馬遜 AWS 雲端計算服務。他的測試還發現,執行在微軟雲端的系統也存在問題。微軟尚未置評。

來源:鳳凰網科技 

更多資訊

NVIDIA 顯示卡驅動曝出 5 個高危漏洞:升級最新 431.60 版本可解決

NVIDIA 今天釋出安全公告稱,在目前的 Windows 顯示卡驅動中發現了 5 個高危級別的安全漏洞,都非常的危險。這些漏洞波及 GeForce、Quadro、NVS、Tesla 等各條產品線,分別涉及使用者模式驅動、DirectX 驅動、核心模式層(nvlddmkm.sys)等方面,可導致原生程式碼執行、DoS拒絕服務攻擊、許可權提升等,作業系統則影響 Windows 7、Windows 8.1、Windows 10。

來源:快科技
詳情連結:https://www.dbsec.cn/blog/article/4855.html 

Facebook、WhatsApp、Instagram 出現全球大範圍當機

Facebook 及其關聯服務 WhatsApp、Instagram 均出現當機情況。根據使用者在推特上的反饋和吐槽,本次當機問題覆蓋全球,目前還沒有來自 Facebook 的官方公告。部分使用者抱怨無法檢視好友的狀態,還有部分使用者表示無法開啟 Facebook 和Facebook Messanger。

來源:cnBeta.COM
詳情連結:https://www.dbsec.cn/blog/article/4856.html 

Chrome 位址列預設不展示 HTTPS 和 WWW

從最近釋出的 Chrome 69 開始,桌面版和移動版的位址列預設不再顯示 HTTPS 和 WWW。如果使用者想要檢視完整的網址,桌面版需要點選兩次,移動版需要點選一次。Google 此舉旨在簡化和提高 Chrome 的可用性。但 Google 此舉再次招致了批評。

來源:solidot.org
詳情連結:https://www.dbsec.cn/blog/article/4857.html 

錯誤的 JIRA 配置導致數百家財富 500 強公司的資料洩露

來自國外的開發者 Avinash Jain 在8月2日時發表了一篇文章,揭露全球範圍內使用非常廣泛的問題跟蹤軟體 JIRA 由於錯誤的配置導致成千上萬的公司洩露了內部的員工以及專案資料的問題。Jain 同時提供瞭如何去找出這些存在漏洞的 JIRA 系統的方法。

來源:開源中國
詳情連結:https://www.dbsec.cn/blog/article/4859.html 

(資訊來源於網路,安華金和蒐集整理)

1 億銀行使用者資訊失竊之謎:黑客是怎麼找到漏洞的?

訂閱“Linux 中國”官方小程式來檢視

相關文章