再有 AWS 用戶錯誤設定,令數據在公共雲上赤裸曝露。美國網絡安全創業公司 UpGuard 揭發,Accenture 有部分寄存在 AWS 上的伺服器未有加密,載有全球百大企業近 4 萬個密碼。只要獲取網址可任意下載這些機密資料。
UpGuard 在上月發現,Accenture 在 AWS S3 儲存服務上的伺服器,至少有 4 部未有密碼保護,只要知悉網址,可任意下載上百 GB 數據,如 API、身分驗證、解密鑰匙、客戶資料等。伺服器屬 Accenture Cloud Platform 一部分,其用戶包括全球百大企業的 94 間、全球 500 大企業的三分之二。Accenture 的 AWS 鑰匙管理系統的密匙亦在伺服器內發現,若被盜走遭外洩,即可解密該公司在 AWS 上所有數據。
雖然 Accenture 在接獲通知後即時修補漏洞,但無從得知有幾多數據遭靜俏俏盜走。Accenture 向傳媒 ZDNet稱,這些具洩露風險的數據僅佔該公司雲端儲存不足 1%,亦不附帶客戶資訊。
之前已發生過多宗 AWS 疏忽設定造成數據外洩,如美國 2 億選民個人資料、1,400 萬 Verizon 用戶資料等。
