全球最大無人機製造商之一大疆創新 (DJI) 被資安研究人員發現其 HTTPS 憑證竟大剌剌地存放在 GitHub 開放原始碼儲存庫 (Repository) 上長達四年。
研究人員 Kevin Finisterre 在一個公開的 GitHub 儲存庫上發現 DJI 的金鑰。該儲存庫中包含了 AWS 帳號登入憑證、AES 加密金鑰,以及公開的 AWS S3 儲存貯體 (Bucket)。Finisterre 指出,儲存庫內甚至還有個人身分識別資訊 (PII)。
DJI 已公開承認此事,並表示將評估及解決此問題,而受影響的 HTTPS 憑證也已在 9 月撤銷。該公司幾個月前公布了一項臭蟲懸賞計畫,不論個人或團隊,只要能夠找到 DJI 軟體的問題,就能獲得獎賞。Finisterre 也參加了這項懸賞計畫,並且原本有機會獲得 3 萬美元的獎金,但因不認同該計畫的某些條款而決定將發現的結果公開,並撰寫了一份長達 18 頁的報告 (PDF)。
這已經不是第一次因為雲端服務組態設定不當而導致資料可能遭到外洩。許多使用雲端的企業皆未徹底做好安全措施,甚至犯了一些明顯錯誤,因而使得資料暴露在外。所以可見,像雲端服務組態設定這麼簡單的問題,都可能導致資料外洩。
企業須了解,雲端基礎架構的安全,不單只是服務供應商的責任,雙方都必須共同分擔,因此企業與供應商應共同配合,這包括所有存放在雲端的一切在內。企業若能落實這份共同安全責任,就能避免發生前述的尷尬情況及相關損失。
趨勢科技 Hybrid Cloud Security 雲端解決方案,融合了跨世代的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載而設計,能協助企業履行其共同分攤的安全責任。此外,更內含趨勢科技Deep Security這套領先市場的伺服器防護,隨時隨地保護著全球數以百萬計的實體、虛擬及雲端伺服器。
原文出處:Drone Manufacturer DJI Leaves SSL Key Exposed on Public Repository
