Błąd w konfiguracji bazy danych Amazon Prime Video – wyciek 215 mln rekordów związanych z nawykami oglądania filmów przez użytkowników

Ostatnimi czasy często zdarzają się wpadki bezpieczeństwa startupów technologicznych, które osiągnęły niebywały sukces w stosunkowo krótkim czasie. Pisaliśmy o Uberze, Revolucie, więc przyszła kolej na Amazon.

Anurag Sen, badacz bezpieczeństwa poinformował portal TechCrunch, że znalazł w Internecie otwarty dostęp do ich bazy danych zawierającą dane nt. nawyków oglądania serwisu Amazon Prime. Baza danych nie była chroniona hasłem, gdyż uważano, że baza znajduje się na “wewnętrznym” serwerze Amazon, bez dostępu publicznego. Jednak każdy mógł uzyskać do niej dostęp na podstawie znajomości adresu IP (np. poprzez wyszukiwarkę Shodan).

Baza w formacie Elasticsearch o nazwie “Sauron” zawierała około 215 milionów rekordów z danymi nt. nazwy oglądanego materiału, danych o urządzeniu i jakości sieci a także dane subskrybenta. Według statystyk z Shodana, baza została udostępniona 30 września 2022 r. TechCrunch przekazał szczegóły dostępności do Amazona i niedługo później dostęp do bazy został ograniczony z komentarzem rzecznika Amazon – Adama Montgomeriego:

“Wystąpił błąd podczas wdrożenia serwera analitycznego Prime Video. Został on już rozwiązany i żadne informacje o koncie (w tym dane logowania lub płatności) nie zostały ujawnione. To nie był problem AWS, bo serwer działał zgodnie z założeniami” 

Po raz kolejny jednak niepokojące jest to, że firma wielkości Amazona może pozostawić tak lukę bezpieczeństwa w Internecie na tygodnie bez zauważenia. 

~tt