CapitalOneの攻撃者が誤って構成されたAWSデータベースを悪用した from darkreading.com

悪名高い2019年のキャピタルワンのデータ侵害の背後にいる36歳のシアトルの技術者は、データの盗難に関連する7件の罪で有罪判決を受けました。
「企業のコンピューターセキュリティを支援しようとする倫理的なハッカーになるどころか、彼女は間違いを悪用して貴重なデータを盗み、自分自身を豊かにしようとしました。」
検察官は、Thompsonが特にスキャナーを使用してAWSの設定ミスを探し、データベースがアクセスに認証を必要とせずにインターネットに公開されたままになっていることを指摘しました。
全部で、彼女はキャピタルワンを含む30のエンティティのデータベースに侵入することに成功しました—データを盗み、場合によっては暗号通貨マイナーを植えました。
「適切なツールがあれば、適度に賢い人がクラウドのこれらの亀裂を大規模に探すのはほとんど簡単です。また、機密データを公開することになる意図しない構成の誤りに遭遇するために、組織を特にターゲットにする必要はありません。あなたの世話で」
したがって、企業は、安全で回復力のある構成の計画や、ミスや見落としを監視するための自動化されたプロセスなど、クラウドセキュリティにリソースを割り当てる必要があると研究者は述べています。