خدمات أمازون للإنترنت، التخزين

الآلاف من حسابات خدمات أمازون اس ٣ غير محمية

اكتشف باحث متخصص في أمن المعلومات عن وجود آلاف من حسابات خدمة أمازون اس 3 غير محمية بسبب خطأ في الاعدادات من قبل المستخدم. حيث بين الباحث بأنه يمكن لأي شخص ببعض المجهود أن يكتشف ما إذا كانت حالة الحسابات (أو ما يسمى بالبوكت) خاصة أوعامة.

فحص ما إذا كان الحساب خاص أو عام أمر سهل. كل الحسابات بها اسم نطاق يمكن توقعه ومفتوح للعامة. بشكل افتراضي يمكن أن يكون اسم النطاق أحد التالي

  • http://s3.amazonaws.com/[bucket_name]/
  • http://[bucket_name].s3.amazonaws.com/

أثناء التجربة وضع الباحث أسماء شركات كبيرة تستخدم خدمة سحاب أمازون اس 3، حيث اكتشف أن محتويات حسابات 1951 شركة منها كانت متوفرة للعامة.

  • تلك المجلدات كانت تحتوي على حوالي 126 مليار ملف، تنوعت ما بين معلومات خاصة بأحد شبكات التواصل الاجتماعي، وصولا إلى نسخ احتياطية غير مشفرة من قواعد بيانات.
  • ستون بالمائة من الملفات كانت صور. بعضها كانت صورة خاصة بمستخدمي شبكات اجتماعية.
  • حجم هائل من المستندات النصية كان يحتوي على معلومات دخول مواقع. بعض المستندات كان مكتوب عليه (سري) أو (خاص).

العجيب أن الأمر لا يتعدى مجرد خطأ في اعدادات الحساب من قبل المستخدم مما سبب وجود ثغرة في الخصوصية والأمان ممكن أن تكون قاتلة.

بشكل افتراضي تكون اعدادات اس 3 مضبوطة على الوضع الخاص، ولكن ممكن أن تعمم بشكل يدوي أو بسبب سوء في الاعدادات.

من جانبها نبهت شركة أمازون مستخدمي خدمة اس 3 على ضرورة التأكد من اعدادات الخصوصية في حساباتهم حتى لا يكونو ضحية لهذه الثغرة التي يكون سببها خطأ بشري.

المصادر 1 ، 2 ، 3

عن م. فهد الحامد

مهندس نظم معتمد، مختص ومهتم بمجال الحوسبة السحابية.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *