国会要求Amazon出席国会质询

昨天的新闻《前Amazon员工佩奇居然黑了Capital One，一亿美国人信息泄露！》今天事态进一步扩大：

美国众议院要求Amazon出席国会的质询，确定AWS是不是还是安全的。

路透社新闻

640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=11080×655

640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=11080×799

国会给Amazon的信

640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1784×586

国防部表示暂停

这个事情居然，真有可能直接影响到Amazon的百亿订单，影响到整个世界云计算的格局，估计Jeff现在正在骂娘。

回顾Captial One事件已知的信息以及最新进展

已知的：

1. 佩奇是前Amazon S3的员工。

2. 佩奇拿到了大量的Captial One的数据。

3. 佩奇在社交网上的截屏，显示她其实还拿到了其他公司的大量数据。

未知的：

1. 他究竟是通过什么具体手段拿到的capital one的数据？
2. 为什么这个也影响到了其他公司？
3. Amazon的合规方面，是不是也存在compliance问题？

Capital One是AWS金融合作领域里面的标杆。直到今天capital one还是AWS金融领域合作case study的样板。

按照理论上来讲，AWS有一套非常复杂的IAM 身份权限管理系统，理论上来讲是不会出问题的。

现在佩奇是具体用了什么技术收单黑进去的，一直没有披露。

到底是他发现了aws的漏洞，还是发现了capitalone的默认配置有问题？

根据他在github上post出来的截图，他不仅仅黑了capital one一家的数据，而且还黑了一片公司的数据。

640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1786×767

这个除了前面两个文件是capitalone的，其他的数据包含了apperian， ford， global Garner， infoblox，unicredit等等公司的数据，貌似还有S3的开发，devops代码。

看样子，很可能是偷了Amazon内部的代码出来，然后研究了很久很久才慢慢发现了漏洞。

这就解释了，为啥她在twitter上post在自学IDAPro。玩这个的都是搞破解的，逆向工程的。很有可能她从公司偷了一部分模块出来，他没有代码只有binary，她拿这个工具进行破解分析。

640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=11080×726

但也有可能是，Aws某个不太常用的配置缺省值有问题，导致了数据泄漏的惨剧。因为这个真是发生过。国内的某云，年前爆出了一个漏洞将大量的公司的私有源代码publish到公网上面去了。原因是因为很多ops对某个权限的理解有错误。

在更多技术细节披露出来之前，现在只能猜测。如果单单一家企业的数据泄漏，那么怎么解释都可以。但是如果是一批企业出问题这又该如何解释？

从security model 来讲，这是严重的security breach啊！

另外，这个事件，还提出了一个严肃的内部安全问题。

美国公司管的非常松，对员工绝大多数情况下都是极端信任的。这也是为啥有人能大量拷贝代码回国创业的事情时有发生。不像某司公司的USB口都是贴住的。但是随着美国越来越多关系到国计民生的企业，全面上云，带来的挑战就格外巨大。如何防止来自内部的威胁将越来越重要。

如果最后确认这个佩奇是利用他从Amazon内部偷出来代码黑进S3的，那么Amazon的compliance team会有巨大的压力，这种级别的security breach是非常致命的。

影响百亿美元利益的争夺

估计谁也没有想到在争夺JEDI花落谁家的这个节骨眼上，aws发生如此大影响的事情。这个事情可以写小说。事情要从 JEDI云说起。

2018年，美国五角大楼（即国防部）宣布了联合企业防御计划（Joint Enterprise Defense Initiative，缩写为 JEDI，也是电影《星球大战》里 “绝地武士” 的意思，代表正义一方），也被称为 JEDI 云项目 ，并且明确指出了该计划的目的：“这个计划就是为了提高国防部的杀伤力，为我们的军队提供最好的资源。”

这个订单将持续十年，总价值超过百亿美元。

JEDI 项目通过把国防部的计算系统迁移到云端，将美国的军队系统“带入新世纪”。五角大楼表示，这样做有很多好处，比如有助于他们在数据分析工作中引入人工智能；为士兵执行任务期间提供实时数据等等。

640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1725×396

对美国科技公司来说，JEDI不仅仅是一块超级“肥肉”——谁能和国防部签下协议拿到订单，谁就可能在在接下来数年内踢开竞争对手，获得接近垄断的政府技术供应商地位。

本来从市场份额来讲，这个事情极大概率会落到AWS那边去。但是另外几家公司也不服气。毕竟这是生死攸关的项目。Oracle，IBM，微软， Google都和Amazon打的头破血流。其中最有竞争力的就是Amazon和微软。Oracle 在互联网时代被抛弃后，这几年拼命砸钱搞cloud，但是还是排不上号。

为了获得这块超级大蛋糕，几家主流科技公司，一改往日和平共处的局面，直接撕到了台面上各种drama。

Oracle这边最狗血，因为国防部负责招投标的一名工作人员Deap Ubhi，是前Amazon员工，在国防部做决定的过程中起到了关键作用，事后又回到了Amazon。Oracle抓住了这个漏洞，把Amazon给告了，要求法院暂停合同，查个水落石出。

本来吧，这个案子，下个星期就要正式公布了！！！

下个星期正式公布了!!

然后出了这么一档子事情。

这件事情，最后的最大的得利者，很有可能是微软的Azure。

640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1468×817

Amazon这个心里苦啊。。。。。。

眼看要进洞房了，被拉到国会去检查。而且这种超级大系统的安全问题，又不是一天两天能说完的。做一次compliance review估计几个月就过去了。

人的一生当然要靠自我奋斗，

当然也要考虑历史的进程

微软的user confidential policy确实非常严格

建议国防部可以直接把大合同给GCP，毕竟谷歌值得…

今天微软股价逆势走高估计也是此原因

亚麻就是个猪对手，哈哈哈

搞完非死不可公司，又开始搞亚麻。。。科技公司看来要倒霉

640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1736×428

美国大银行Capital One的用户隐私数据泄密的有社会安全号－类似国内身份证号一样的东西，有用户过去10多年的申卡信息等等。总体上影响大概1亿美国和加拿大人。加上之前信用记录公司Equifax的信息泄露，可以说美帝的基本上每个人都信用信息都已经在黑产手里了。

强烈建议每个在美帝的人，都应该从现在开始起监控自己的信用记录，以防止id被盗窃。具体的办法收费的可以买三大信用局以及各大信用卡公司的服务，一个月不到20美元。免费的话，creditkarma等之类的也可以。

Capital One这次数据泄漏被发现的过程大概是这样的。某路人甲在GitHub上看到了泄密的数据，就给capital one的某个公开账号写来一封邮件说你们的数据泄密了，在这里，快来看看。

Capital One一看事情大条了，就报警，FBI把人给抓了。这个偷数据的人叫Paige Thompson，也是一个传奇。他（她）是一个自己认为自己是女人的男人，在美国被称为transgender。

他是自学成才，2005年到2006年在bellevue college上过课，然后就辍学了。Bellevue college是本地的一个提供大学前两年教育的学院。两年以后要转去大学，这也是美国教育的特色了。

他之前在亚马逊的S3上过班，是亚马逊的员工。从这一点上来说我们不得不佩服亚马逊不拘一格招人的风格。无论是学中文的建筑都还是自学成才的都可以去上班。

他的Twitter显示自己是个破解爱好者，是不是高手不得而知。但是重点是Capital One是亚马逊AWS在云端金融行业的标杆客户，其数据都存在S3上。所以这次是一个S3前员工盗窃了存储在S3上帝敏感用户数据。具体怎么盗窃的还不得而知。

这在美国真的是一个非常巨大的事情。可能有些人还不理解为什么这样说。简单一点来说，包含用户敏感信息的数据肯定是加密保存的，密钥一般人无法获得，起码Capital One员工先不说，亚马逊的普通员工按理是不能获得访问数据内容权限的。

这一点我在微软的时候印象非常的深刻，脱敏数据的访问要简单很多，但是涉及用户隐私的数据，大部分人是不可能获得访问权限的，少数可以访问内容的人也是严格监管的。

现在的加密技术决定了如果没有量子计算机发明出来，没有密钥根本不可能得到数据的明文。那么一个亚马逊S3前员工居然如此轻而易举的就获得了权限极高，管控极其严格的用户数据。

而且，不管是银行还是亚马逊的所有监管系统都没有报警！没有报警！！要不是这个偷数据的人自己装逼把偷来的数据放到GitHub上公开的话，鬼知道要猴年马月才能发现数据被偷。

亚马逊的所有监控体系都形同虚设啊。你说这是多可怕的事情。你能想象全球第一大云厂商是这样的大门敞开的给所有人服务吗？发生了这样的事情以后你还敢用S3去存宝贝的数据，然后让人不知布局全偷走吗？我是不敢。

果不其然，美国众议院这下子就怒了。刚刚美国国防部准备把千亿级别的国家安全等数据中心大单给亚马逊，这边一个路人甲就把数据不声不响地偷走，还没有激发任何的警报。你说国家怎么放心把数据交给亚马逊。

美国众议院要求亚马逊出席国会质询，确认它家的服务到底靠不靠谱安全不安全。与此同时，国防部也暂停了千亿大单的数据中心。千亿大单本身可能不是最重要的问题，毕竟亚马逊很能赚钱，这只是小钱。但是其象征意义却是巨大的。

如果亚马逊最终因为这个泄密案失去了国家的单子，那么企业们对亚马逊是不是同样信任，也会成为问题。由此导致的雪崩效应，简直无法想象。我想最开心的，一个是微软CEO Satya，睡觉有人递枕头过来。一个是Oracle的CTO Larry Elison。Larry努力说服国家不要给亚马逊订单，真是有先见之明。

总而言之，这个问题还在发酵。就看亚马逊能不能偶以技术和钱摆平眼前的难关。如果摆不平，那么微软取代亚马逊成为云计算第一也不是不可能的。总之，我也很难理解亚马逊这个号称最好的S3到底出了什么问题。

至于Capital One，这家烂银行我好几年前就停止使用了。在这事情里，它也是一无所知的天天只能叫纳尼！I FULE U。

呵呵亚麻的alarm只在乎系统崩不崩，关于安全什么的，screw it!

就是爽了微软