Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Błąd w konfiguracji bazy danych Amazon Prime Video – wyciek 215 mln rekordów związanych z nawykami oglądania filmów przez użytkowników

02 listopada 2022, 10:38 | W biegu | komentarze 2
TL;DR – Błąd w konfiguracji bazy danych powodował publiczną dostępność bazy danych z ponad 215 mln rekordów dotyczących nawyków oglądania użytkowników (w tym nazwy filmów, dane o urządzeniu, jakość sieci powiązane z subskrybentem) z Amazon Prime Video.

Ostatnimi czasy często zdarzają się wpadki bezpieczeństwa startupów technologicznych, które osiągnęły niebywały sukces w stosunkowo krótkim czasie. Pisaliśmy o Uberze, Revolucie, więc przyszła kolej na Amazon.

Anurag Sen, badacz bezpieczeństwa poinformował portal TechCrunch, że znalazł w Internecie otwarty dostęp do ich bazy danych zawierającą dane nt. nawyków oglądania serwisu Amazon Prime. Baza danych nie była chroniona hasłem, gdyż uważano, że baza znajduje się na “wewnętrznym” serwerze Amazon, bez dostępu publicznego. Jednak każdy mógł uzyskać do niej dostęp na podstawie znajomości adresu IP (np. poprzez wyszukiwarkę Shodan).

Baza w formacie Elasticsearch o nazwie “Sauron” zawierała około 215 milionów rekordów z danymi nt. nazwy oglądanego materiału, danych o urządzeniu i jakości sieci a także dane subskrybenta. Według statystyk z Shodana, baza została udostępniona 30 września 2022 r. TechCrunch przekazał szczegóły dostępności do Amazona i niedługo później dostęp do bazy został ograniczony z komentarzem rzecznika Amazon – Adama Montgomeriego:

Wystąpił błąd podczas wdrożenia serwera analitycznego Prime Video. Został on już rozwiązany i żadne informacje o koncie (w tym dane logowania lub płatności) nie zostały ujawnione. To nie był problem AWS, bo serwer działał zgodnie z założeniami” 

Po raz kolejny jednak niepokojące jest to, że firma wielkości Amazona może pozostawić tak lukę bezpieczeństwa w Internecie na tygodnie bez zauważenia. 

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. User

    Heh, bezos płaci swojemu IT tyle co pracownikom magazynowym? Czy też każdy może już zostać specem od bezpieczeństwa IT?

    Odpowiedz
    • Mateusz

      Bezos nie jest ceo Amazona.

      Odpowiedz

Odpowiedz