安全公司 Detectify 顾问 FransRosén 于 7 月 13 日发布一份报告，指出网络管理员经常忽略亚马逊（ AWS ）访问控制列表（ ACL ）规则，导致服务器因错误配置导致大量数据在线泄露。    

Detectify 公司认为，尽管服务器配置错误的原因各不相同，但在 AWS S3 存储设置访问控制时，多数漏洞服务器均由常见问题导致。随后，研究人员通过一系列不同错误配置原因证实，由于服务器与目标系统 ACL 的配置极其薄弱，导致黑客可以随时操控、监视与破坏高端网站。

据悉，在该份安全报告中，Rosén 指出 AWS 服务器中存在一处关键漏洞，允许攻击者识别 S3 存储服务器的名称信息、利用 AWS 命令行工具跟踪 Amazon API。如果操作正确，攻击者便可访问 S3 列表并读取文件获取信息。此外，攻击者不仅可以将文件写入并上传至 S3 存储服务器中，还可更改用户访问权限。研究人员表示，由于 AWS S3 的访问控制列表配置错误，攻击者在获取访问权限后允许访问服务器敏感数据。

如果将访问控制设置为 “ AuthenticatedUsers ”，就意味着任何用户均拥有一套有效的 AWS 凭据，其基本由用户注册 AWS 账户获得。不过，用户在看到这个访问控制选项时可能会将身份验证与审核授权混淆。如果 S3 存储服务器配置错误，那么攻击者唯一需要的就是服务器名称信息。

Detectify 表示，识别服务器名称信息及其所属公司的操作极其简单，存在多种不同方法强制 S3 存储服务器显示，包括查看服务器 Amazon S3 的 HTTP 响应。Rosén 表示，他无法确定近期 Verizon 服务器泄露事件缘由是否遇到同样的错误配置问题。但他发现，目前共有 40 家公司在出现错误配置时遇到不同的访问控制问题。

日前，亚马逊发表声明指出这并非漏洞。虽然 AWS S3 服务器配置不正确，可能会导致泄漏数据，但他们无法防止用户操作无错误出现。目前，AWS 已提供一些工具，以便用户更改并锁定服务器访问权限。

来源：hackernews

记者从公安部获悉：自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来，各地公安机关不断把专项行动推向深入，取得了阶段性战果。截至目前，全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起，抓获犯罪嫌疑人4800余名，查获各类公民个人信息500余亿条。

据了解，近年来，公民个人信息被泄露、窃取的案件高发。当前，此类案件主要呈现以下三个特点：一是黑客入侵网站非法窃取公民个人信息犯罪活动增多，二是企事业内部人员非法泄露公民个人信息成为信息泄露的主要源头，三是侵犯公民个人信息犯罪成为其他各类犯罪的上游犯罪。

对此，公安部高度重视，部署全国公安机关以“追源头、摧平台、断链条”为目标，不断加大侦查打击力度，今年以来，山东、湖北、江苏等地接连破获了一批重大案件。

来源：人民日报