弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

米金融大手キャピタル・ワン・フィナンシャルのAWSのS3から1億件のクレジットカード情報がぶっこ抜かれるw update3

トンプソン「非常に多くの人が(AWSで)間違った設定をしてる…」w

The misconfiguration of the WAF allowed the intruder to trick the firewall into relaying requests to a key back-end resource on the AWS platform. This resource, known as the “metadata” service, is responsible for handing out temporary information to a cloud server, including current credentials sent from a security service to access any resource in the cloud to which that server has access.
「WAFの設定ミスは侵入者にAWS基盤の鍵となるリソースへのリクエストを中継させF/Wを騙すことを許した。このリソースは、クラウドでサーバがアクセスするすべてのリソースにアクセスするセキュリティサービスからの現在の認証情報を含む、クラウドサーバーへの一時情報を識別する機能で、「メタデータ」サービスとして知られている。」w

キャピタルワンが自身の銀行の為に作り込んた通信を監視し、時にはブロックする、Web application firewallを経由して侵入していた。なのでAWSのS3の問題ではないという判断になったのだとーか…w

1億人の情報、米金融大手で流出=アマゾン元従業員がサイバー攻撃か 2019-07-30 12:45
【ニューヨーク時事】米金融大手キャピタル・ワン・フィナンシャルは29日、サイバー攻撃を受け、米国とカナダの顧客計約1億600万人分の個人情報が流出したと発表した。金融大手としては過去最大級の個人情報流出とみられている。 ワシントン州の連邦検察当局は、サイバー攻撃を行った33歳の女が同日逮捕されたと発表した。米紙ウォール・ストリート・ジャーナルによると、女は米インターネット通販最大手アマゾン・ドット・コムのクラウド部門の元従業員。キャピタル・ワンはアマゾンのクラウドサービスを利用していたという。 [時事通信社]
米国とカナダの顧客計約1億600万人分の個人情報w

アマゾン系列会社元社員の犯行か 米金融大手の情報流出
2019/7/30 17:11 (JST) ©一般社団法人共同通信社
 【ニューヨーク共同】米金融大手キャピタルワンの顧客個人情報が流出した事件で、不正アクセスしたとして逮捕されたペイジ・トンプソン容疑者(33)は、同社が情報保管に利用する米インターネット通販大手アマゾン・コム系列のクラウドサービス会社でIT技術者として勤務していたことが明らかになった。米メディアが30日報じた。
 同容疑者は、不正アクセスの“成果”をネット上で自慢しており、これが逮捕につながった。
 ニューヨーク・タイムズなどによると、トンプソン容疑者はキャピタルワンが顧客情報を保管するアマゾン・ウェブ・サービスで勤務していた。数年前に退職したとみられる。

Capital OneのクラウドストレージはAWSのS3を使っていた。F/Wの設定ミスでTorを経由したVPNを張られてストレージの中身をダウンロードされたのだとーかw

F/Wの誤設定?w

投稿されたコメント:

コメント
コメントは無効になっています。