• 發布單位:TWCERT/CC
• 更新日期:2020-12-02
• 點閱次數:3792

TWCERT/CC近日接獲情資，超過四萬筆Amazon Simple Storage Service(Amazon S3)的public bucket URL已被公開於GitHub。

Amazon S3是一種雲端儲存服務，通常拿來備份伺服器、日誌及檔案。Amazon S3 雖然設定public bucket，但還是需要知道URL才能下載。本次情資的揭露可能讓有心人士透過URL下載檔案，甚至包括帶有敏感的個人隱私資料。其手法可透過http://[bucket_name].s3.amazonaws.com/對檔名為Key的檔案進行下載。

建議措施：

1. 修改AWS Identity and Access Management（IAM）Policy來限制訪問的對象。
2. 修改設定以禁止Amazon S3 公用存取。