Amazon secara tidak sengaja mengekspos server internal yang dikemas dengan kebiasaan menonton Prime Video

Rasanya seperti setiap hari startup teknologi lain tertangkap basah menumpahkan rim data di internet karena kesalahan keamanan. Tetapi bahkan untuk raksasa teknologi seperti Amazon, mudah membuat kesalahan.

Peneliti keamanan Anurag Sen menemukan database yang dikemas dengan kebiasaan menonton Amazon Prime yang disimpan di server internal Amazon yang dapat diakses dari internet. Namun karena database tersebut tidak dilindungi dengan password, data di dalamnya dapat diakses oleh siapa saja melalui web browser hanya dengan mengetahui alamat IP-nya.

Basis data Elasticsearch — bernama “Sauron” (buat sesuka Anda) — berisi sekitar 215 juta entri data tontonan dengan nama samaran, seperti nama acara atau film yang sedang streaming, perangkat apa yang digunakan untuk streaming, dan lainnya data internal, seperti kualitas jaringan dan detail tentang langganan mereka, seperti jika mereka adalah pelanggan Amazon Prime.

Menurut Shodan, mesin pencari untuk hal-hal yang terhubung ke internet, database tersebut pertama kali terdeteksi di internet pada 30 September.

Meskipun membingungkan bahwa perusahaan sebesar dan kaya Amazon dapat meninggalkan cache data yang begitu besar di internet selama berminggu-minggu tanpa ada yang menyadarinya, berdasarkan ulasan kami, data tersebut tidak dapat digunakan untuk mengidentifikasi pelanggan secara pribadi berdasarkan nama. Tetapi selang waktu tersebut menyoroti masalah umum yang mendasari banyak paparan data — server yang terhubung ke internet yang salah konfigurasi yang dibiarkan online tanpa kata sandi untuk diakses siapa pun.

Sen memberikan detail database dalam upaya mengamankan data, dan TechCrunch meneruskan informasi tersebut ke Amazon karena sangat berhati-hati. Basis data tidak dapat diakses beberapa saat kemudian.

“Ada kesalahan penerapan dengan server analitik Prime Video. Masalah ini telah diselesaikan dan tidak ada informasi akun (termasuk info masuk atau detail pembayaran) yang terungkap. Ini bukan masalah AWS; AWS aman secara default dan dijalankan seperti yang dirancang, ”kata juru bicara Amazon Adam Montgomery.

Related Posts