นักวิจัยจาก vpnMentor เว็บไซต์เปรียบเทียบ vpn และลงข่าวข้อมูลเกี่ยวกับความปลอดภัยด้านต่างๆ บนอินเทอร์เน็ต เปิดเผยว่าเข้าไปพบ AWS S3 bucket ที่คอนฟิกผิด และมีข้อมูลผู้ใช้แอปหาคู่ 9 แอป เช่น แนวเสี่ยหาเด็กเลี้ยงแบบ SugarD, หาคู่สำหรับผู้หญิงอายุเยอะกว่า CourgarD, แอปหาคู่เกย์สายหมี Gay Daddy Bear, แอปหาคู่ของคนที่เป็นโรคเริม Herpes Dating (อิหยังวะ) และอีกมากมาย ที่คาดว่ามีผู้พัฒนารายเดียวกัน

ข้อมูลที่หลุดประกอบไปด้วยรูปภาพแนว 18+ ข้อมูลการสนทนา ข้อมูลบัญชีธนาคาร ไฟล์บันทึกเสียง และข้อมูลที่ใช้ระบุตัวตนผู้ใช้ได้ มากว่า 845 GB จำนวนประมาณ 20 ล้านไฟล์ คาดมีข้อมูลของผู้ใช้ ราว 100,000 คน แต่ข้อมูลก็ถูกล็อกไปแล้วตั้งแต่วันที่ 27 พฤษภาคมที่ผ่านมา หลังผู้ค้นพบแจ้งหนึ่งในเว็บไซต์ที่ข้อมูลหลุดไป

AWS เปิดตัวบริการ AWS Transfer for FTP และ FTPS เพิ่มเติมหลังจากเปิดบริการ SFTP ไปเมื่อปี 2018 แม้ว่าโปรโตคอลทั้งสองจะค่อนข้างเก่าแล้ว แต่ซอฟต์แวร์สำรองข้อมูลและซอฟต์แวร์วิทยาศาสตร์ยังใช้งาน FTP อยู่ ขณะที่ซอฟต์แวร์ด้าน ERP หรือ CRM บางตัวก็ยังรองรับเฉพาะ FTPS เท่านั้น

ในบรรดาการเชื่อมต่อทั้ง 3 แบบ FTP อันตรายที่สุดเนื่องจากไม่มีการเข้ารหัสใดๆ ทำให้ AWS ไม่อนุญาตให้เชื่อมต่อผ่านอินเทอร์เน็ต แต่ต้องเชื่อมต่อผ่าน VPC เท่านั้น ส่วน FTPS นั้นยังอนุญาตให้เชื่อมต่อผ่านอินเทอร์เน็ตได้

ค่าใช้งานเท่ากับ SFTP ทุกประการ อยู่ที่ 0.30 ดอลลาร์ต่อชั่วโมง และอัตราการส่งข้อมูลเข้าออก 0.04 ดอลลาร์ต่อกิกะไบต์เท่ากัน

ปัญหาลืมปิด Bucket ของสตอเรจบนคลาวด์ (เช่น กรณี Amazon S3 ที่เคยเป็นข่าวในบ้านเรา) ยังถือเป็นต้นเหตุสำคัญของกรณีข้อมูลหลุดหลายครั้ง

ปีที่แล้ว AWS ออกเครื่องมือชื่อ Amazon S3 Block Public Access เพื่อตั้งค่าไม่ให้เปิด S3 เป็นสาธารณะได้อีกต่อไป (คลิกเดียวปิดทุกอย่าง) ปีนี้ AWS ออกเครื่องมือที่ช่วยให้เราตรวจสอบสิทธิการเข้าถึง S3 ได้ละเอียดมากขึ้น ในชื่อว่า Access Analyzer for S3

Amazon ได้เปิดให้ใช้งานสตอเรจคลาสใหม่ Amazon S3 Glacier Deep Archive ที่ออกแบบมาเพื่อเน้นเก็บข้อมูลระยะยาวอย่างคงทนและปลอดภัย โดยเน้นกลุ่มลูกค้าที่ต้องเก็บข้อมูลไว้ในระยะยาวมากและแทบไม่ได้เรียกใช้เลยนานหลายปี หลังจากเปิดตัวมาตั้งแต่ปลายปีที่แล้ว

สำหรับการเก็บข้อมูลของ S3 Glacier Deep Archive คือจะเก็บข้อมูลไว้ที่ 3 Availability Zones หรือมากกว่า และเรียกข้อมูลได้ภายใน 12 ชั่วโมงหรือน้อยกว่า โดยสตอเรจคลาสนี้ออกแบบมาเพื่อทดแทนการเก็บข้อมูลลงเทป (tape drive) โดยผู้ใช้จะได้ไม่ต้องยุ่งยากในการจัดการ หรือไมเกรตข้อมูลไปยังสื่อใหม่ ๆ

AWS ประกาศรวม Amazon Glacier บริการแบ็คอัพและเก็บข้อมูลระยะยาวราคาถูก เข้ากับ S3 เป็นบริการเดียวกันเพื่อให้ใช้งานสะดวกขึ้น โดยให้เหตุผลว่าในมุมของผู้ใช้งานก็มอง Glacier เป็นสตอเรจคลาสหนึ่งของ S3 อยู่แล้ว และลูกค้าส่วนใหญ่ของ Glacier ก็แบ็คอัพข้อมูลมาจาก S3 อยู่แล้วเช่นกัน

Amazon Glacier จึงถูกยุบรวมเข้ากับ S3 และใช้ชื่อใหม่ว่า Amazon S3 Glacier ส่วนในแง่การใช้งาน การเรียก API ต่างๆ ยังเหมือนของเดิม ผู้ใช้ไม่ต้องเปลี่ยนแปลงอะไร

ปกติแล้ว S3 จะมีประเภทการเก็บข้อมูลต่างๆ ตามลักษณะการใช้งาน เช่น ถ้าใช้งานไม่บ่อยก็สามารถเลือกประเภทที่ค่าจัดเก็บถูกลง แต่มีค่าบริการเรียกข้อมูล (retrieval fee) ได้ เช่น S3 Standard-IA หรือ Amazon Glacier ที่เป็นสตอเรจสำหรับเก็บข้อมูลระยะยาว

ล่าสุด AWS เปิดบริการใหม่ S3 Intelligent-Tiering เป็นสตอเรจคลาสใหม่ที่ช่วยให้เราเลือกประเภทการเก็บข้อมูลได้อัตโนมัติ สลับจาก S3 แบบปกติ (frequent access) เป็น S3 แบบเข้าถึงไม่บ่อย (infrequent access) ให้อัตโนมัติ เมื่อสตอเรจแบบปกติไม่ถูกเรียกใช้งานนานกว่า 30 วัน แถมยังไม่เสียค่าเรียกข้อมูล เมื่อมีการเข้าถึงก็จะปรับกลับทันที โดยคิดค่าบริการเพิ่มเติมตามจำนวนไฟล์ที่เก็บไว้

AWS เปิดตัวบริการ AWS Transfer for SFTP สำหรับ S3 โดยสามารถใช้ client SFTP ทั่วๆ ไป เช่น Filezilla หรือ WinSCP อัพโหลดไฟล์ขึ้น S3 ได้เลย

ค่าบริการอยู่ที่ $0.30 ต่อชั่วโมงที่เปิดใช้ และ $0.04 ต่อข้อมูล 1GB ที่ส่งเข้าออก เพิ่มจากค่าบริการของ S3 และ data transfer ตามปกติ

ที่มา: What's new in AWS

ปัญหา Amazon S3 โดนแฮกคอนฟิกผิดจนกระทั่งเปิดออกสู่สาธารณะเป็นปัญหาเรื้อรังที่หลายบริการเจอในช่วงหลายปีที่ผ่านมา แม้ทาง AWS จะพยายามปรับหน้าจอหรือการแจ้งเตือนเพื่อให้ผู้ใช้รู้ตัวเร็วขึ้นแล้วก็ตาม ตอนนี้ทาง AWS ก็เปิดฟีเจอร์ใหม่ Amazon S3 Block Public Access การตั้งค่าบัญชีไม่ให้เปิด S3 เป็นสาธารณะได้อีกต่อไป

การปรับค่ามีให้เลือก คือ บล็อคการตั้ง ACL ให้อนุญาตให้คนภายนอกสามารถอ่านและเขียนไฟล์ได้ และบล็อคการตั้ง bucket เป็นสาธารณะ ทั้งสองแบบมีทั้งการบล็อคการสร้างออปเจกต์หรือ bucket ใหม่ในอนาคต และการลบสิทธิ์สาธารณะเดิมที่เคยเปิดไว้

เมื่อสั่งบล็อคแล้ว การสร้าง bucket ใหม่หรือเปิดสิทธิ bucket เดิมให้เป็นสาธารณะก็จะทำไม่ได้อีกต่อไป

Jonathan Bouman นักวิจัยความปลอดภัยไซเบอร์รายงานถึงการทดลองสแกนหา S3 bucket ที่คอนฟิกผิดพลาดโดยเจาะจงโดเมนของแอปเปิลโดยเฉพาะ และพบว่าโดเมน live-promotions.apple.com นั้นเป็น AWS S3 ที่เปิดสิทธิให้ใครเขียนไฟล์ก็ได้ นับเป็นความผิดพลาดร้ายแรง

กระบวนการหาช่องโหว่นี้ Bouman โดยสแกนหาโดนเมนย่อยของ apple.com จากนั้นตรวจสอบ หาโดเมนย่อยของแอปเปิลทั้งหมด แล้วกรองเฉพาะเว็บที่มี header X-Amz-Bucket-Region ซึ่งแสดงว่าจริงๆ ภายในเป็น S3 จากนั้นตรวจดูว่าการเข้าเว็บจะเกิดอะไรขึ้น

ประเด็นข้อมูลหลุดของ iTruemart บน S3 ยังเป็นที่สนใจของบ้านเรา แต่เคสแบบนี้ไม่ใช่เรื่องใหม่ เพราะเกิดขึ้นมาแล้วบ่อยครั้ง

ล่าสุดมีนักวิจัยความปลอดภัย Chris Vickery จากบริษัท UpGuard ค้นพบสตอเรจบน S3 ที่เปิดเป็น public bucket และมีข้อมูลส่วนบุคคลเยอะถึง 48 ล้านบัญชี ขนาดไฟล์รวม 1.2TB

ข้อมูลนี้เป็นของบริษัทข้อมูลชื่อ Localbox ที่แทบไม่มีใครรู้จัก แต่ทำธุรกิจด้านเก็บสะสมข้อมูลผู้ใช้จากโซเชียลยี่ห้อต่างๆ เช่น Facebook, Twitter, LinkedIn รวมถึงเว็บไซต์อสังหาริมทรัพย์ Zillow ด้วย โมเดลธุรกิจของ Localbox ชัดเจนว่านำข้อมูลไปขายเพื่อการโฆษณา และหน้าเว็บไซต์ของบริษัทระบุว่ามีอีเมลของผู้ใช้งาน 650 ล้านอีเมล ที่ยืนยันตัวตนได้ว่าเป็นใคร

หมายเหตุ: บทความนี้เป็นการอธิบาย Amazon S3 ที่กำลังเป็นข่าวอยู่ในตอนนี้ สำหรับผู้ที่ไม่เคยได้ยินชื่อมาก่อนหรือไม่คุ้นเคยกับมันมากนัก ใครที่คุ้นเคยกับ S3 อยู่แล้วข้ามไปได้เลยครับ

Amazon S3 ย่อมาจากคำว่า Simple Storage Service มันคือบริการเก็บข้อมูลบนคลาวด์ของ Amazon Web Services (AWS) ซึ่งเป็นผู้ให้บริการคลาวด์อันดับหนึ่งของโลก นอกจากนี้ S3 ยังถือเป็นบริการตัวแรกสุดของ AWS ด้วย โดยเปิดตัวมาตั้งแต่ปี 2006 หรือ 12 ปีก่อน

AWS ประกาศลดราคาบริการสตอเรจ S3 และสตอเรจเก็บข้อมูลระยะยาว Glacier ลง 16-28% ในเกือบทุกภูมิภาค

สำหรับราคา S3 ในเขต Asia Pacific ที่คนไทยน่าจะใช้กันเยอะ ราคาเริ่มต้นลงมาเหลือ 0.025 ดอลลาร์ต่อ GB ต่อเดือน (กรณีใช้ 0-50TB) และถ้าใช้พื้นที่เก็บข้อมูลมากเกิน 500TB ราคาจะเหลือ 0.023 ดอลลาร์เท่านั้น

ส่วนราคาของ Glacier ก็ลดลงจากรอบก่อน 0.007 ดอลลาร์ เหลือแค่ 0.004 ดอลลาร์ต่อ GB ต่อเดือน (ลดลง 43%)

นอกจากนี้ AWS ยังปรับวิธีคิดราคาการเรียกคืนข้อมูล (Retrieval) จาก Glacier ใหม่ โดยแบ่งเป็น 3 ระดับราคาตามความเร่งด่วน

ช่วงหลังๆ มานี้ เรามักเห็นข่าวบริษัทหลายแห่งย้ายระบบจากศูนย์ข้อมูลเดิม มาใช้คลาวด์แทนแบบ 100% (เช่น Netflix และ Zynga ที่เช่า AWS ทั้งคู่)

แต่ในทางกลับกัน ก็มีบริษัทที่ต้องเปลี่ยนจากการเช่าคลาวด์ AWS มาทำศูนย์ข้อมูลของตัวเองแทน บริษัทนี้คือ Dropbox ที่ล่าสุดออกมาประกาศว่าย้ายลูกค้ากว่า 90% มาอยู่ในศูนย์ข้อมูลเรียบร้อยแล้ว

Amazon เพิ่มการเก็บข้อมูลแบบใหม่ในชื่อ S3 Standard IA (ย่อมาจาก Infrequent Access) สำหรับงานที่ต้องการความรวดเร็วในการเข้าถึงข้อมูล แต่เรียกใช้ไม่บ่อยนัก

ก่อนหน้านี้การเก็บข้อมูลบนกลุ่มเมฆของ Amazon ปกติจะมี 2 ทางเลือกคือ S3 สำหรับข้อมูลที่ถูกเรียกใช้บ่อยๆ ต้องการความรวดเร็ว และ Glacier สำหรับเก็บข้อมูลประเภทนานๆ ใช้ที เช่น แบ็คอัพข้อมูลต่างๆ ราคาถูกกว่า S3 แต่มีค่าใช้จ่ายตามจำนวนข้อมูลที่ดึงออกมา

สำหรับ S3 Standard IA นี้จะอยู่ระหว่างทั้งสองแบบ คือเข้าถึงข้อมูลได้รวดเร็วระดับเดียวกับ S3 ปกติ (ระดับมิลลิวินาที) แต่ก็จะคิดค่าใช้จ่ายตามจำนวนข้อมูลที่ส่งแบบ Glacier และมีข้อจำกัดว่าต้องเก็บข้อมูลไว้ขั้นต่ำ 30 วัน

Amazon Web Services ประกาศปรับราคาพื้นที่เก็บข้อมูลทั้งแบบ S3 และ Elastic Block Store (EBS) ลงอีกรอบ ราคาใหม่จะมีผลวันที่ 1 กุมภาพันธ์นี้

• S3 ราคาลดลงระหว่าง 6-22% (ขึ้นกับปริมาณพื้นที่ที่ใช้งาน) โดยราคาถูกที่สุดที่เป็นไปได้คือ 0.043 ดอลลาร์ต่อ GB ต่อเดือน (ต้องใช้งาน 500TB ขึ้นไป)
• EBS หั่นราคาลดลงครึ่งหนึ่ง จากเดิม 1GB ต่อเดือนอยู่ที่ 0.1 ดอลลาร์ก็ลดลงเหลือ 0.05 ดอลลาร์, ค่า I/O request ลดลงจากเดิม 1 ล้าน request ต่อ 0.1 ดอลลาร์ ลดลงเหลือ 0.05 ดอลลาร์เช่นกัน

นอกจากนี้ Amazon ยังปรับแพ็กเกจ EC2 ประเภท M3 instance ใหม่ โดยเปลี่ยนพื้นที่เก็บข้อมูลเป็น SSD และเพิ่มขนาดใหม่อีก 2 ขนาดด้วย

เมื่อวานนี้เป็นงาน re:Invent ของอเมซอน โดยตัวงานรวมเป็นงานสำหรับนักพัฒนาที่ใช้บริการ AWS จุดสนใจหลักไปอยู่ที่บริการ S3 ที่ได้รับความนิยมเพิ่มขึ้นอย่างรวดเร็ว จากไตรมาสที่แล้วที่มีออปเจกต์ใน S3 ทั้งหมด 905 พันล้านออปเจกต์ ไตรมาสที่สามที่ผ่านมาตัวเลขนี้ก็เติบโตขึ้นเป็น 1.3 ล้านล้านออปเจกต์แล้ว

ในงานเดียวกันอเมซอนประกาศลดราคาค่าส่งข้อมูลจาก S3 ลง 25% ทำให้ราคาเริ่มต้นต่อกิกะไบต์ในสหรัฐฯ อยู่ที่ 0.095 ดอลลาร์ต่อกิกะไบต์

ตัวเลขการใช้งานที่อเมซอนเปิดเผยอีกอย่าง คือ บริการ Elastic Map Reduce ที่ตอนนี้มีคนสร้างคลัสเตอร์มาใช้งานในเดือนตุลาคมที่ผ่านมาถึง 3.7 ล้านคลัสเตอร์

บริการที่อเมซอนไม่ยอมเปิดเผยตัวเลขมาโดยตลอดคือ EC2 ที่ยังไม่มีทั้งจำนวนเครื่องและยอดการใช้งาน

Amazon ออกมาเผยสถิติของบริการเก็บข้อมูลบนกลุ่มเมฆ S3 ประจำไตรมาสแรกของปี 2012

• ตอนนี้มีข้อมูลที่ถูกเก็บอยู่บน S3 รวมแล้ว 9.05 แสนล้านชิ้น
• จำนวนรีเควสต์ต่อวินาที peak load อยู่ที่ 6.5 แสนครั้ง (บางครั้งอาจมากกว่านี้)

S3 ย่อมาจาก Simple Storage Service ถือเป็นบริการที่ประสบความสำเร็จมากตัวหนึ่งของ Amazon โดยมีเว็บไซต์และบริการออนไลน์หลายแห่งเรียกใช้งาน S3 อีกต่อหนึ่ง เช่น Twitter, Dropbox, Tumblr เป็นต้น

ที่มา - Amazon Web Services Blog

เรื่องราวการทะเลาะกันของสองบริษัทไอทีโดยมีแอปเปิลเป็นหัวโจกคงจะไม่จบง่ายๆ ถ้าใครยังไม่เข้าใจหรือยังไม่เก็ตในเรื่องนี้ (เพราะปกติมันจะเป็นข่าวการกัดกันไป กัดกันมาของซัมซุงมากกว่า) ก็จะขอย้อนอดีตคร่าวๆ ละกันนะครับ คือดราม่านี้มันเริ่มต้นจากการที่แอปเปิลเป็นฝ่ายเริ่มฟ้องเอชทีซี ว่าฝ่ายเอชทีซีละเมิดสิทธิบัตร ซึ่งเบื้องต้น ITC ตัดสินว่าผิดจริง ฝ่ายเอชทีซีจึงแก้เกมด้วยการเข้าซื้อ S3 Graphics จาก VIA แล้วเอามาฟ้องอีกรอบ และก็ทำให้แอปเปิลพ่ายแพ้ไปในที่สุด แต่ยังทิ้งท้ายว่าฝ่ายเอชทีซีเองก็ยังยินดีเจรจา

ข่าวต่อเนื่องสองข่าวจากคดีแอปเปิลฟ้อง HTC ละเมิดสิทธิบัตร และเบื้องต้นฝ่าย HTC ผิดจริง และ HTC ซื้อบริษัท S3 จาก VIA เพื่อหวังสิทธิบัตรคุ้มกาย

กรณีของ S3 ก่อนหน้านี้ได้ฟ้องแอปเปิลว่าละเมิดสิทธิบัตรด้านการ์ดจอ ซึ่งผู้พิพากษาของ ITC ตัดสินว่าแอปเปิลผิดจริง โดยเครื่องแมคที่ใช้การ์ดจอจาก NVIDIA ละเมิดสิทธิบัตรของ S3 สองชิ้น และถ้าคณะกรรมการชุดใหญ่ของ ITC มีความเห็นตามผู้พิพากษา แอปเปิลอาจโดนสั่งห้ามนำเข้าเครื่องแมคบางรุ่นไปขายสหรัฐได้