آمازون به طور تصادفی یک سرور داخلی مملو از عادات مشاهده Prime Video را افشا کرد
به گزارش اپ خونه، به نظر می رسد که هر روز یک استارتاپ فناوری در حال ریختن مجموعه ای از داده ها در سراسر اینترنت به دلیل نقص امنیتی گرفتار می شود. اما حتی برای غول های فناوری مانند آمازون، اشتباه کردن آسان است.
محقق امنیتی Anurag Sen یک پایگاه داده مملو از عادات مشاهده Amazon Prime را پیدا کرد که در سرور داخلی آمازون ذخیره شده بود که از طریق اینترنت قابل دسترسی بود. اما از آنجایی که پایگاه داده با رمز عبور محافظت نمی شد، هر کسی که یک مرورگر وب دارد فقط با دانستن آدرس IP آن می تواند به داده های داخل آن دسترسی پیدا کند.
پایگاه داده Elasticsearch – با نام “Sauron” (از آن چه می خواهید بسازید) – حاوی حدود ۲۱۵ میلیون ورودی از داده های مشاهده مستعار بود، مانند نام نمایش یا فیلمی که در حال پخش است، دستگاهی که در آن پخش شده است، و موارد دیگری از این قبیل بود. داده های داخلی، مانند کیفیت شبکه و جزئیات مربوط به اشتراک آنها، مانند اینکه آیا آنها یک مشتری Amazon Prime هستند.
به گفته شودان، یک موتور جستجو برای چیزهای متصل به اینترنت، این پایگاه داده برای اولین بار در ۳۰ سپتامبر در معرض اینترنت شناسایی شد.
در حالی که نگران این هستیم که شرکتی با اندازه و ثروت آمازون میتواند چنین انبار عظیمی از دادهها را برای هفتهها بدون اینکه کسی متوجه شود در اینترنت باقی بگذارد، بر اساس بررسی ما، نمیتوان از دادهها برای شناسایی شخصی مشتریان با نام استفاده کرد. اما این خطا یک مشکل رایج را نشان میدهد که زیربنای بسیاری از دادهها قرار میگیرد – سرورهای اینترنت با پیکربندی نادرست که بدون رمز عبور برای هر کسی به صورت آنلاین باقی میمانند.
Sen جزئیات پایگاه داده را در تلاش برای ایمنسازی دادهها ارائه کرد و TechCrunch اطلاعات را از روی احتیاط فراوان در اختیار آمازون قرار داد. پایگاه داده مدت کوتاهی بعد غیر قابل دسترسی بود.
یک خطای استقرار در سرور تجزیه و تحلیل Prime Video وجود داشت. این مشکل حل شده است و هیچ اطلاعات حساب (از جمله جزئیات ورود یا پرداخت) در معرض دید قرار نگرفت. این یک مشکل AWS نبود. آدام مونتگومری، سخنگوی آمازون گفت: AWS به طور پیشفرض ایمن است و طبق طراحی انجام میشود.
