外媒 1 月 15 日消息，IT 管理软件和监控工具供应商 SolarWinds 通过分析发现，Spectre / Meltdown 补丁使其亚马逊网络服务（ AWS ）基础设施的性能严重下降。 据悉，SolarWinds 在半虚拟化的 AWS 实例上图形化地表现了“ Python worker service tier ” 的性能。如下图所示，在亚马逊重启 SolarWinds 使用的 PV 实例后，CPU 使用率跃升至 25％ 左右。 与此同时，SolarWinds 对其 EC2 HVM 实例的性能也进行了监控，发现在 Amazon 推出 Meltdown  的补丁时性能开始下降，并且不同的服务层的 CPU 颠簸也非常明显。 根据数据显示，结果并不可观，比如 Kafka 集群的数据包速率降低了 40％，而 Cassandra 的 CPU 使用率则猛增了 25％。 不过 SolarWinds 表示，目前 CPU 水平似乎正在返回到 HVM 之前的补丁水平，但并不清楚实例中 CPU 使用率降低是否与额外的补丁有关。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 12 月 1 日消息，网络安全公司 UpGuard 研究人员 Chris Vickery 于近期发现美国国家信用联盟（NCF）托管的亚马逊 AWS S3 存储器因配置不当，导致逾 100G 用户敏感数据在线暴露，其中包括用户姓名、地址、社保号码、银行账号以及信用报告等具体信息。据称，由美国三大知名信用机构 Equifax、Experian 与 TransUnion 整理的数千份客户信用报告也位于其中。 UpGuard 网络分析师 Dan O’ sullivan 在博客中写道：“经调查发现 NCF 创建的存储库中包含个性化信贷蓝图，即以一种特定形式收集用户大量敏感信息，包括客户所抵押的贷款细节以及信用卡账单支付时间。此外，该存储库中还包含了 NCF 员工访问客户记录，以及屏幕监控程序记录的所有计算机桌面视频。然而不管怎样，所有在线泄露的数据都极有可能遭黑客恶意利用，从而导致客户个人财产被窃。” 知情人士透露，该存储库一直都在持续更新并提供最新数据，直至研究人员告知公司 AWS S3 配置错误导致信息泄露后，NCF 才当即修改访问权限。这就意味着，如果黑客访问了该数据库，那么他们所要做的只是静静等待数据更新即可。据 UpGuard 研究人员估计，约有 4 万名 NCF 客户受数据泄露影响。另外，目前尚不清楚该存储器在线暴露时间，也不确定其是否已被非法访问。不过，该公司正开展深入调查并采取积极措施，以便确保客户财产安全。 相关阅读： ○ 美政府再因亚马逊 AWS S3 配置错误：超 100GB NSA 陆军机密文件曝光 ○ 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 ○ 又因亚马逊 AWS S3 配置错误：澳大利亚财政部、金融机构等近 5 万职员敏感信息在线曝光 消息来源：ibtimes.co.uk，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

11 月 21 日消息，亚马逊云计算平台 AWS 日前专为 CIA 和美国其他情报部门推出了云计算服务 AWS Secret Region，这标志着美国政府特定部门对使用 AWS 非常感兴趣。6 年前，亚马逊曾在 AWS 上推出 GovCloud 服务，即其第一个公共部门客户数据中心。 自那以后，AWS 宣布不断扩大 GovCloud 计划。早在 2013 年，就有媒体报道 AWS 与 CIA 之间签署了 6 亿美元的合同，此举帮助亚马逊成功地吸引了更多大型企业以利用其云服务。如今，AWS 的客户包括 Comcast、Hess、Intuit 和 Lionsgate 等公司。目前，AWS 的竞争对手包括微软、谷歌、IBM 和甲骨文的云服务平台。 亚马逊在一篇博客文章中说：“随着 Secret Region 的推出，AWS 成为首家也是唯一一个商业云服务提供商，提供各种各样的政府工作负载服务，包括未分类的、敏感的、秘密的和最高机密的数据分类。”亚马逊还称，由于 AWS 与智能社区 Commercial Cloud Services（C2S）签署有合同，它必须满足某些政府标准。CIA 首席信息官约翰·爱德华兹（John Edwards）也表示，AWS Secret Region 是 Intel Community 多组构云策略的关键组成部分。 稿源：cnBeta、网易科技，封面源自网络；

据外媒 11 月 6 日报道，安全公司 Skyhigh 将管理员对亚马逊 AWS S3 存储器配置错误的情况命名为“ GhostWriter 漏洞 ”，其首席科学家兼总工程师 Sekhar Sarukkai 周五在博文中发布警告称 “ GhostWriter 漏洞或将允许黑客针对托管公司的客户/内部员工进行中间人（MitM）攻击后窃取用户敏感信息”。 研究人员表示，攻击者只需要通过互联网识别具有写入权限的公开 S3 存储器后就可访问目标服务器并覆盖所有数据与文件，或上传恶意软件至存储器。此外，存储 JavaScript 或其他代码的存储器管理人员更应该关注这个问题，以确保黑客不会为了分发恶意软件、挖掘比特币等操作默默覆盖原始内容。 一旦攻击者发现一台具有写入权限的公开 S3 存储器时，他就可以通过替换任一广告程序代码后将其重定向至恶意页面，从而进行中间人攻击或拦截流量的操作。此外，由于该攻击手段极其隐蔽且多数组织均依赖于亚马逊云服务商的信任，因此该类攻击活动并不容易被用户察觉。 目前，尚不清楚该漏洞是否已被利用，但它显然存在。好在研究人员在发现漏洞后立即通知了亚马逊并与其合作，以便迅速解决问题。另外，研究人员还提醒各企业管理员将公司托管的存储器设置为不可公开写入，并确保员工只能从安全的 S3 存储器中下载文件以避免来自外部的黑客攻击。 原作者：Kevin Townsend，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 10 月 24 日消息，电商巨头亚马逊宣布，将在德国建立一个新研究中心，专注于开发人工智能（AI）以提高客户体验——尤其是在视觉系统方面。亚马逊表示，在该研究中心进行的研究也将致力于帮助亚马逊云服务（AWS）的用户及其语音驱动的人工智能助手Alexa。目前，该研究中心将设在图宾根，其靠近马克斯•普朗克智能系统学院。知情人士获悉，它将聘用 100 多名机器学习工程师。 亚马逊表示，未来五年该研究中心将创造约 100 个工作岗位。该研究中心是继柏林、德累斯顿和亚琛之后，亚马逊在德国的第四个研究中心。图宾根研发中心是亚马逊的第一个专注于视觉人工智能研究的德国研究中心，尽管这只是亚马逊在这方面已经广泛开展的研发工作的最新延伸。另外，亚马逊还将聘用马普研究院的两位教授为亚马逊学者。Bernhard Schölkopf，机器学习领域专家，他还是计算机辅助摄影的共同发明人；Michael J. Black，机器视觉领域的专家，同时还是人体 3D 成像公司 Body Labs 的联合创始人。 亚马逊的柏林研究中心最初是一个客户服务中心，但自 2013 年以来，它还包括开发亚马逊云业务（包括管理程序、操作系统、管理工具和自我学习技术）；亚马逊的的德累斯顿中心是内核和操作系统团队，内核和操作系统在 EC2 核心上运行；在亚马逊的的亚琛研发中心，工程师们正在研究 Alexa 和架构云 AWS 服务。 除了建立研发中心，亚马逊还表示，将向 “Cyber Valley” 项目捐赠 125 万欧元（约合 150 万美元）。此外，亚马逊还将出资 42 万欧元（约合 50 万美元），对个别研究成果进行奖励。“Cyber Valley” 项目是去年德国推出的一个创新项目，旨在将学术与业界研究成果相结合，以推动人工智能的研究。目前，这个创新项目现有的合作伙伴包括宝马、博世、戴姆勒、IAV、保时捷和德国采埃孚集团以及现在加入的亚马逊。 稿源：cnBeta，封面源自网络；

援引 The Star Press 报道，来自印第安纳州的一对夫妇被指控联邦邮件欺诈和洗钱，并承认从亚马逊诈骗超过 120 万美元商品。根据亚马逊的退换货策略，在换货之前并不需要回收已经破损的商品，为此现年 38 岁的艾琳·芬南（Erin Finan）和 37 岁的利亚·芬南（Leah Finan）利用这个漏洞，大肆购买了诸如 GoPro、Gear 系列手表等电子数码产品，并在收到物品之后反馈称商品已经破损或者无法工作。 由于亚马逊的退换货策略，并不会对这些报告破损的产品进行回收，而是会直接发出替换的新产品。为此这对夫妇伪造了数百个虚假身份，大肆订购这些电子商品后伪称已经损坏。然后，这对夫妇通过第三方 Danijel Glumac 处理这些商品，后者还引导这对夫妇如何不引起亚马逊的注意。根据调查，物品总计获利超过 120 万美元，其中芬南夫妇获利 72.5 万美元。 这对夫妇最终被美国国税、美国邮政监察局和印第安纳州监察局联合调查，在今年 5 月份指控联邦邮件欺诈和洗钱罪名，两者均已认罪。根据法院裁定，这对夫妇需要向亚马逊支付总计 1,218,504 美元的费用，并面临 20 年监禁生活，判决将于 11 月 9 日生效。 稿源：cnBeta，封面源自网络；

据外媒 9 月 29 日上午消息，全食超市于本周四披露，该公司发生数据泄密事件，消费者在其店内的酒吧和餐厅内用餐时使用的信用卡信息遭到泄露。全食超市指出，这些地方使用的 POS 系统与超市收银台不同，后者不会受到影响。 知情人士透露，亚马逊不久前刚刚收购全食超市，该公司股价在盘后交易中没有出现明显波动。全食超市表示，他们已经在网络安全公司的帮助下展开调查，而且已经联系了执法部门。该公司称，将会采取适当措施解决此事。 全食超市表示，亚马逊的系统并未与全食超市联网，因此不会受到影响。全食超市称，调查仍在进行，他们将及时披露相关信息。 稿源：，稿件以及封面源自网络；

据外媒报道，Kromtech 安全中心研究人员近期发现汽车追踪设备公司 SVR Tracking 因亚马逊 AWS S3 存储器配置不当，导致逾 54 万用户登录信息在线暴露，其中包括电子邮件地址、用户密码、车辆识别号码 VIN、GPS 设备的 IMEI 号码，以及有关车辆状态与维护跟踪记录数据的 339 份日志文件。 调查显示，SVR 密码是一款由美国国家安全局（NSA）20 年前设计的弱加密算法 SHA-1，因此黑客能够轻松破解并对其进行登录访问。有趣的是，暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。研究人员表示，由于多数经销商或客户的车辆均具有跟踪设备功能，因此在线暴露的设备总数可能要比调查数据多得多。 另外，由于 SVR 的汽车跟踪设备在过去 120 天内一直对车辆进行监控，因此任何能够访问 SVR 用户登录凭据的攻击者都可实时跟踪车辆，并使用互联网连接设备创建目标车辆在每个位置的详细日志，从而在汽车主人不在时进行偷窃或抢劫。目前，虽然 Kromtech 在警告公司 AWS S3 存储器配置不当后，SVR Tracking 当即对其进行了保护，但尚不清楚黑客是否已经访问泄露数据。 关联阅读： 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 安全报告：亚马逊 S3 存储服务器错误配置引发数据泄露 原作者：Swati Khandelwal，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 20 日报道，网络安全公司 UpGuard 研究人员 Chris Vickery 近期发现美国媒体巨头 Viacom 因亚马逊 AWS S3 存储器配置不当，导致大量敏感数据在线泄露，其中包括公司旗下各品牌内部数据、公司服务器详细列表与登录密码，以及 AWS 帐户的访问密钥等 72 份压缩文件。尽管部分数据使用 GPG 加密，但令人不安的是，该存储器中还包含相关解密密钥。 知情人士透露，虽然 Viacom 尚未向 UpGuard 声明这台存储器存在的主要目的，但根据泄露内容似乎可以看出与公司 IT 系统的基础设施配置文件有关。另外，该云存储器中泄露的文件主要由公司运营 IT 系统的跨平台计算服务组织 MCS 负责，这似乎又进一步证实了 Viacom 将公司基础设施的主要信息迁移至亚马逊 AWS 云存储器。 跨平台计算服务组织 MCS（ Multiplatform Compute Services ）：主要负责 Viacom 旗下各品牌 IT 基础设施管理，其中包括 MTV、美国喜剧电台中心 Comedy Central 与 Nickelodeon 等。 目前，尽管 Viacom 在收到通知后立即删除云服务存储器信息，但尚不清楚黑客是否已掌握这些数据。对此，研究人员极其担忧，因为黑客一旦利用这些数据，极有可能操控公司服务器、窃取重要信息并大规模开展网络钓鱼攻击活动。 关联阅读： 时代华纳逾 400 万客户信息在线泄露，又是亚马逊 AWS S3 配置错误惹的祸？ 美国 TigerSwan 因第三方 AWS 漏洞泄露数千份敏感简历，或含美驻印尼大使、中情局前员工信息 美国媒体巨头 Viacom 因亚马逊存储器配置不当，致使大量内部数据在线泄露 安全报告：亚马逊 S3 存储服务器错误配置引发数据泄露 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 6 日报道，继美国私人安全公司 TigerSwan 9,400 份雇佣简历在未受保护的 AWS 数据库上泄露后，安全公司研究人员 Kromtech 再次曝光另一起 AWS 存储数据泄露事件 —— 知名云服务供应商 BroadSoft 未妥善保护时代华纳托管在亚马逊存储服务器的数据，导致逾 400 万客户信息在线泄露，其中包括客户地址、账户设置、电话号码、用户名、MAC 地址、调制解调器硬件序列号等敏感信息。 BroadSoft 是一家知名云服务企业，其上市公司在 80 多个国家拥有逾 600 家服务供应商。BroadSoft 合作伙伴通常与通信、电信、媒体或其他领域的知名企业有关，其中包括时代华纳、AT&T、Sprint、沃达丰等大型公司。此外，在全球排名前 30 的服务提供商中，有 25 家都使用 BroadSoft 基础设施。 调查显示，研究人员 Kromtech 于 8 月底针对该公司基于云服务存储数据库进行安全检查时发现，管理人员因配置错误未关闭服务器公共访问权限，导致任意用户均可匿名访问。因此，攻击者只需使用匿名登录就可从该数据库中窃取想要信息。目前，BroadSoft 并未作出任何置评，而时代华纳在事件发生后当即通知受害用户并告知供应商删除所有数据记录。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。