去年夏天,美国第一资本投资集团 Capital One (美国第 5 大银行)成为大规模数据泄露的受害者,该数据泄露涉及超过 1 亿张信用卡申请和 14 万个社会安全号码。原因是:一名攻击者发起服务端伪造请求或 SSRF,诱使服务器连接到本不应该连接的服务器。这是一种新的网络安全漏洞,它起源于云计算。
事实上,SSRF 已成为使用公共云服务器的企业所面临的最严重的漏洞之一。SSRF 攻击的潜在危害由于提供公共云服务器而变得更加严重。然而,在这次事件中,尽管遭到破坏的服务器和数据位于 AWS 的基础设施上,但 Capital One 对此事件负有全部责任。和所有其他云服务器一样,当用户使用云服务器时,服务商只负责保护基础架构,而用户则负责保护其数据和应用程序。