https://www.chenk.top/zh/tags/compliance/Recent content in Compliance on Chen Kai BlogHugozh-CNSun, 07 May 2023 09:00:00 +0000https://www.chenk.top/zh/cloud-computing/security-privacy/Sun, 07 May 2023 09:00:00 +0000https://www.chenk.top/zh/cloud-computing/security-privacy/<p>2019 年，Capital One 泄露了一亿条客户记录。整个攻击链非常简短：一个配置错误的 WAF 允许攻击者对 EC2 元数据端点发起服务端请求伪造（SSRF），该端点随即返回了 IAM 临时凭证，而该 IAM 角色对账户内所有 S3 存储桶都拥有通配符权限 <code>s3:*</code>。一处配置失误、一个权限过宽的角色、一条安全团队漏写的防护规则——仅此而已。事件造成的直接经济损失（不含法律费用）超过 8000 万美元。</p>