資安業者警告：Amazon EBS配置不當造成眾多機密資料曝光

不只是Amazon S3（Amazon Simple Storage Service）含有配置不當造成資料外洩的問題，資安業者Bishop Fox上周警告，Amazon Elastic Block Store（Amazon EBS）在快照功能（Snapshots）上的配置不當，也會讓企業的機密資訊全都曝光。

Amazon EBS為一高效能區塊儲存服務，專門用來存放Amazon EC2執行個體的持久性資料，而快照則是用來備份Amazon EBS，多半是備份檔案系統或大型資料庫等重要任務。

不過，Bishop Fox的安全研究人員Ben Morris發現，有許多企業的雲端管理員在使用Amazon EBS的快照功能時，不小心在配置設定上，將快照設為公開且未加密。

於是Morris打造了一個工具，利用Amazon的內部搜尋功能查詢這些公開的EBS快照，然後把它們複製到自己的系統上。他光是在單一區域就找到了數十個公開快照，這些快照中存放了程式原始碼、加密金鑰、密碼、認證令牌、個人識別資訊、VPN配置，甚至是根憑證，快照的主人有些是政府的承包商，還有大型科技企業或IoT公司。

Morris向TechCrunch透露，他估計在Amazon的所有雲端區域中，應該有1,250個Amazon EBS快照曝光。

Morris說，此一瑕疵的獨特性在於那些虛擬硬碟被複製、或是憑證與原始碼被盜走的企業完全無從察覺，他複製這些硬碟長達好幾周的時間，卻一直沒有人發現。

TechCrunch則引述Amazon的回應指出，他們已通知那些將Amazon EBS快照設為公開的客戶，建議那些不小心配置錯誤的客戶儘快關閉快照。