亚马逊云服务数据库泄露个人信息风险

关键要点

• Mitiga研究人员发现，数百个数据库每月通过亚马逊云服务被公开暴露，泄露了用户的个人可识别信息（PII）。
• 亚马逊关系数据库服务（RDS）允许用户创建公共快照，便于分享数据，但也可能被恶意用户利用。
• 部分快照存在的时间长达数年，增加了信息泄露的风险。
• Mitiga开发了一种扫描和提取RDS快照中潜在敏感信息的AWS原生技术。
• 强烈建议企业在公开快照之前确保没有敏感数据。

Mitiga的研究人员发现，通过一个公开可访问的亚马逊云服务，每月有数百个数据库被暴露，泄露了大量的个人可识别信息（PII），而这些信息可能被不法分子利用。

亚马逊关系数据库服务（RDS）是一种平台即服务（PaaS），支持像MySQL这样的可选引擎。它提供了一项名为“RDS快照”的直观功能，让用户可以将公共数据或模板数据库分享给应用程序。Mitiga在11月16日的，通过这一功能，用户能够以非常方便的方式与同事分享快照，且“无需处理角色和策略”，轻松将快照设为公开状态，仅持续“几分钟”。

虽然瞬间公开快照可以方便同事查看，但如果恶意用户意外发现了这个快照，就会导致严重的问题。经过一些调查，Mitiga团队发现，部分快照的公开时间并非短短几分钟，有的甚至持续了数小时、数天、数周，甚至有一个案例已经公开了几年之久。

为了深入探究，Mitiga团队“开发了一种，利用AWSLambda StepFunction和boto3，规模化地扫描、克隆和提取RDS快照中的潜在敏感信息”，在一个月的时间内提取PII信息。他们发现的数据包括姓名、电话号码、电子邮件、MAC地址、客户访问令牌以及用户应用程序的应用ID。其中一个数据库创建于2015年，至今依然处于公开状态。总的来说，Mitiga在一个月内发现了2,783个快照。

研究人员总结道：“我们认为，假设最坏的情况并不是夸张——当你将快照公开几分钟时，某些人可能会获取到该快照的元数据和内容。因此，为了你公司的和更重要的你客户的隐私——如果你对快照中内容或元数据没有100%确定没有敏感数据，请不要这样做。”

请查看，了解如何检查你的快照是否被公开，以及防范措施。

风险因素 | 描述
—|—
公开快照 | 快照被意外设置为公共，造成数据泄露
长期公开 | 快照存在数小时、天或年，增加恶意访问的机会
敏感信息 | 包含的个人信息可能被滥用

建议 : 企业在使用AWS RDS时，确保对快照的处理遵循最佳实践，避免敏感数据的泄露。