IAAS提供商DigitalCean发现自己恢复了安全问题
快速增长的基础架构 - AS-Service(IAAS)提供商DigiteCean正在更新其代码,以确保其快速存储不会无意中将一个客户的数据暴露给任何其他客户。
昨晚出现问题,当时杰弗里保罗是一名自我描述的黑客和基于柏林的研究员,指出DigitaloCean不会自动擦除用于旁边存储的快速固态盘(SSD)驱动器的数据Digitalocean的虚拟服务器。除此之外,保罗展示了如何使用给定的数字电视虚拟服务器的下一个人从以前的客户中拉下某些数据。
“我能从昨天恢复别人的WebServer日志,”Paul写道。
在应用程序编程接口(API)的功能范围内,开发人员可以用于控制其在DigitalCean的云上的资产,可以指示DigitalCean一旦客户完成使用它,就可以在液滴或虚拟服务器上完全清除数据。根据DimitaloCean的API文档,“Scrub_Data”命令是“可选的”。它“将严格写入0到您的先前分区以确保所有数据完全删除,”文档状态。
在GitHub线程中,一些开发人员表示他们希望看到默认情况下擦洗存储,而不仅仅是开发人员指示DigitaloCean进行。
今天DigitalCean Cofounder Moissy Urtsky发表了一个博客文章,以回应这些问题,并解释了今年公司的政策如何变化。Digitalocean实现存储擦洗,虽然随着公司变得更受欢迎,但它决定擦洗不会是默认的,以便优化性能。这个荨仓写道是一个错误。
另一个错误并没有让客户了解API的更改,荨仓写道。
因此,现在公司正在更新其代码的过程中,他解释说:
我们的第一个和立即更新是确保在创建期间提供干净的系统,无论采取哪种方法都能启动毁灭。工程师正在更新代码基础,以确保将是默认行为,并且当该代码实行时,我们将提供另一个通知。
荨仓没有说什么时候可以实施变化。
由于公司在公共云市场上快速增长,争夺速度 - 比主要的球员亚马逊网络服务更快,一个公制 - 并且需要看起来可靠。
这不是DigitalCean第一次处理安全问题。在4月份删除所有数据的类似问题。该公司在几小时内宣布了一项决议。现在公司有更多的工作要做,证明其云是安全的。