研究人员发现数百个亚马逊RDS实例泄露用户；个人数据

云事件响应公司Mitiga的新发现显示，亚马逊关系数据库服务（Amazon RDS）上的数百个数据库正在暴露个人身份信息（PII）。

研究人员Ariel Szarf、Doron Karmi和Lionel Saposnik在与《黑客新闻》分享的一份报告中表示：“以这种方式泄露PII为威胁行为者提供了潜在的宝藏，无论是在网络杀戮链的侦察阶段还是勒索软件/勒索软件活动中”。

这包括姓名、电子邮件地址、电话号码、出生日期、婚姻状况、租车信息，甚至公司登录。

AmazonRDS是一种web服务，它可以在AmazonWebServices（AWS）云中建立关系数据库。它支持不同的数据库引擎，如MariaDB、MySQL、Oracle、PostgreSQL和SQL Server。

泄漏的根本原因源于一个称为公共RDS快照的功能，该功能允许创建在云中运行的整个数据库环境的备份，所有AWS帐户都可以访问该备份。

亚马逊在其文档中警告说：“确保在公开共享快照时，您的私人信息不会包含在公开快照中”。“当快照被公开共享时，它授予所有AWS帐户复制快照和从中创建DB实例的权限”。

这家以色列公司于2022年9月21日至2022年10月20日期间进行了这项研究。该公司表示，他们发现了810张快照，这些快照在不同的时间段内被公开分享，从几个小时到几周不等，这使得它们很容易被恶意行为者滥用。

在810个快照中，超过250个备份暴露了30天，这表明它们很可能被遗忘了。

根据所暴露信息的性质，对手可以窃取数据以获取经济利益，也可以利用数据更好地掌握公司的it环境，从而成为秘密情报收集工作的垫脚石。

强烈建议不要公开访问RDS快照，以防止敏感数据的潜在泄漏或误用或任何其他类型的安全威胁。还建议在适用的情况下加密快照。