تتيح لقطات Amazon RDS تسربًا كبيرًا لمعلومات التعريف الشخصية (PII)
تحقق من الجلسات عند الطلب من قمة Low-Code / No-Code للتعرف على كيفية الابتكار واكتساب الكفاءات بنجاح من خلال تحسين وتوسيع نطاق المطورين المواطنين. شاهد الآن .
يبدو أن 51 عمودًا و 10000 صف تلخص معاملات تأجير السيارات.
تتضمن المعاملات الأسماء وتفاصيل الاتصال والحالة الاجتماعية للمستأجرين ؛ فرصة تأجير شرائح الطلب ("شركة" ، "تجارية" ، "مالك أسطول" ، "فرد") ؛ نوع فئة العملاء ؛ ماركات وموديلات السيارات. وحتى مواعيد التسليم المتوقعة - العشرات من معلومات التعريف الشخصية (PII).
تم الكشف عن قاعدة بيانات MySQL هذه لشركة تأجير سيارات لمدة شهر كامل. هذا مجرد مثال واحد من مئات قواعد البيانات التي يتم الكشف عنها كل شهر - مع تسرب كبير لمعلومات تحديد الهوية الشخصية - عبر لقطات Amazon Relational Database Service (Amazon RDS) ، وفقًا لبحث نشره اليوم Mitiga.
"تتم مشاركة المئات من قواعد البيانات علنًا في أي وقت ،" قال عوفر ماور ، كبير موظفي التكنولوجيا في Mitiga ، وهي شركة للاستجابة للحوادث قائمة على السحابة. "تتم مشاركة بعضها لفترات طويلة من الوقت ، مثل شهور أو سنوات ، وربما بدون قصد. قد تحتوي هذه على بيانات حساسة ويمكن الوصول إليها بسهولة من قبل الجهات المهددة." حدث
قمة الأمان الذكية
تعرف على الدور الأساسي للذكاء الاصطناعي والتعلم الآلي في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة في 8 ديسمبر. اشترك للحصول على بطاقتك المجانية اليوم. سجل الان
كجزء من بحثها المنتظم في سيناريوهات استخراج البيانات من البيئات السحابية وتطوير المنتجات ، وضعت Mitiga نفسها بشكل أساسي "في مكان المهاجم" ، كما قال ماور.
على وجه الخصوص ، بحث في السيناريوهات المحتملة لاستخراج البيانات من قواعد البيانات على Amazon Web Services (AWS) وعبر لقطات Amazon RDS.
سؤال سعت الشركة إلى طرحه: "إذا كان لدي موطئ قدم في الحساب ويمكنني الوصول إلى بيانات RDS ، فكيف يمكنني إخراجها؟"
كانت إحدى الطرق المستخدمة هي إنشاء لقطة من قاعدة البيانات ثم مشاركتها بشكل عام. كما لاحظ ماور ، سأل الباحثون أنفسهم بعد ذلك ، "ماذا لو كان هذا يحدث بالفعل؟ كيف سنتمكن من اكتشاف هذا في البرية؟ "
بالإضافة إلى ذلك ، على مدار السنوات القليلة الماضية ، شهدت الشركة العديد من الهجمات والأبحاث التي تتضمن استخدام لقطات EBS العامة ، والتي تمت معالجتها بالفعل بواسطة AWS في تسجيل CloudTrail الخاص بهم. ومع ذلك ، أشار ماور إلى أنهم أولوا اهتمامًا أقل لقضية تشكل خطرًا مشابهًا: لقطات RDS العامة.
قال ماور: "يجب أن تكون المنظمات على دراية بإساءة الاستخدام المحتملة لمشاركة لقطة عامة واتخاذ خطوات لتقليل المخاطر من خلال الكشف والوقاية".
وأوضح لقطات RDSتم إطلاق Amazon RDS في أكتوبر 2009 ، وهي عبارة عن نظام أساسي كخدمة شهير (PaaS) يوفر نظامًا أساسيًا لقواعد البيانات يعتمد على عدد قليل من المحركات الاختيارية (مثل MySQL أو PostgreSQL).
عند استخدام خدمة RDS في AWS ، يمكن للمطورين أخذ لقطات RDS. هذه لقطة لوحدة تخزين تدعم نسخة قاعدة البيانات بالكامل (وليس قواعد البيانات الفردية فقط).
كتب باحثو معهد Mitiga Ariel Szarf و Doron Karmi و Lionel Saposnik في منشور بالمدونة: "تعد لقطة RDS ميزة بديهية تساعدك على نسخ قاعدة البيانات احتياطيًا".
يمكن بعد ذلك مشاركة هذه اللقطات بين حسابات AWS المختلفة ، داخل المؤسسة المحلية أو خارجها. يمكن أيضًا إتاحة لقطات RDS للجمهور ، مما يسمح للمستخدمين بمشاركة البيانات العامة أو نموذج قاعدة البيانات مع أحد التطبيقات.
يمكن أن تكون لقطة RDS العامة مفيدة عندما يريد المستخدم مشاركة لقطة ...
تحقق من الجلسات عند الطلب من قمة Low-Code / No-Code للتعرف على كيفية الابتكار واكتساب الكفاءات بنجاح من خلال تحسين وتوسيع نطاق المطورين المواطنين. شاهد الآن .
يبدو أن 51 عمودًا و 10000 صف تلخص معاملات تأجير السيارات.
تتضمن المعاملات الأسماء وتفاصيل الاتصال والحالة الاجتماعية للمستأجرين ؛ فرصة تأجير شرائح الطلب ("شركة" ، "تجارية" ، "مالك أسطول" ، "فرد") ؛ نوع فئة العملاء ؛ ماركات وموديلات السيارات. وحتى مواعيد التسليم المتوقعة - العشرات من معلومات التعريف الشخصية (PII).
تم الكشف عن قاعدة بيانات MySQL هذه لشركة تأجير سيارات لمدة شهر كامل. هذا مجرد مثال واحد من مئات قواعد البيانات التي يتم الكشف عنها كل شهر - مع تسرب كبير لمعلومات تحديد الهوية الشخصية - عبر لقطات Amazon Relational Database Service (Amazon RDS) ، وفقًا لبحث نشره اليوم Mitiga.
"تتم مشاركة المئات من قواعد البيانات علنًا في أي وقت ،" قال عوفر ماور ، كبير موظفي التكنولوجيا في Mitiga ، وهي شركة للاستجابة للحوادث قائمة على السحابة. "تتم مشاركة بعضها لفترات طويلة من الوقت ، مثل شهور أو سنوات ، وربما بدون قصد. قد تحتوي هذه على بيانات حساسة ويمكن الوصول إليها بسهولة من قبل الجهات المهددة." حدث
قمة الأمان الذكية
تعرف على الدور الأساسي للذكاء الاصطناعي والتعلم الآلي في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة في 8 ديسمبر. اشترك للحصول على بطاقتك المجانية اليوم. سجل الان
كجزء من بحثها المنتظم في سيناريوهات استخراج البيانات من البيئات السحابية وتطوير المنتجات ، وضعت Mitiga نفسها بشكل أساسي "في مكان المهاجم" ، كما قال ماور.
على وجه الخصوص ، بحث في السيناريوهات المحتملة لاستخراج البيانات من قواعد البيانات على Amazon Web Services (AWS) وعبر لقطات Amazon RDS.
سؤال سعت الشركة إلى طرحه: "إذا كان لدي موطئ قدم في الحساب ويمكنني الوصول إلى بيانات RDS ، فكيف يمكنني إخراجها؟"
كانت إحدى الطرق المستخدمة هي إنشاء لقطة من قاعدة البيانات ثم مشاركتها بشكل عام. كما لاحظ ماور ، سأل الباحثون أنفسهم بعد ذلك ، "ماذا لو كان هذا يحدث بالفعل؟ كيف سنتمكن من اكتشاف هذا في البرية؟ "
بالإضافة إلى ذلك ، على مدار السنوات القليلة الماضية ، شهدت الشركة العديد من الهجمات والأبحاث التي تتضمن استخدام لقطات EBS العامة ، والتي تمت معالجتها بالفعل بواسطة AWS في تسجيل CloudTrail الخاص بهم. ومع ذلك ، أشار ماور إلى أنهم أولوا اهتمامًا أقل لقضية تشكل خطرًا مشابهًا: لقطات RDS العامة.
قال ماور: "يجب أن تكون المنظمات على دراية بإساءة الاستخدام المحتملة لمشاركة لقطة عامة واتخاذ خطوات لتقليل المخاطر من خلال الكشف والوقاية".
وأوضح لقطات RDSتم إطلاق Amazon RDS في أكتوبر 2009 ، وهي عبارة عن نظام أساسي كخدمة شهير (PaaS) يوفر نظامًا أساسيًا لقواعد البيانات يعتمد على عدد قليل من المحركات الاختيارية (مثل MySQL أو PostgreSQL).
عند استخدام خدمة RDS في AWS ، يمكن للمطورين أخذ لقطات RDS. هذه لقطة لوحدة تخزين تدعم نسخة قاعدة البيانات بالكامل (وليس قواعد البيانات الفردية فقط).
كتب باحثو معهد Mitiga Ariel Szarf و Doron Karmi و Lionel Saposnik في منشور بالمدونة: "تعد لقطة RDS ميزة بديهية تساعدك على نسخ قاعدة البيانات احتياطيًا".
يمكن بعد ذلك مشاركة هذه اللقطات بين حسابات AWS المختلفة ، داخل المؤسسة المحلية أو خارجها. يمكن أيضًا إتاحة لقطات RDS للجمهور ، مما يسمح للمستخدمين بمشاركة البيانات العامة أو نموذج قاعدة البيانات مع أحد التطبيقات.
يمكن أن تكون لقطة RDS العامة مفيدة عندما يريد المستخدم مشاركة لقطة ...
What's Your Reaction?
