亚马逊的百亿国防订单，可能要打水漂了？

本文来自微信公众号：西雅图雷尼尔（ID：rainierstore），作者：西雅图雷尼尔，标题图来自视觉中国，原标题《百亿国防订单突起波澜：因CapitalOne事件，国会要求对亚马逊的安全性进行质询！》

昨天的新闻《前亚马逊员工佩奇居然黑了Capital One，一亿美国人信息泄露！》今天事态进一步扩大：

美国众议院要求亚马逊出席国会的质询，确定AWS是不是还是安全的。

路透社新闻

国会给亚马逊的信

国防部表示暂停

这个事情居然，真有可能直接影响到亚马逊的百亿订单，影响到整个世界云计算的格局，估计Jeff现在正在骂娘。

回顾下Captial One事件已知的信息以及最新进展：

已知的：

1. 佩奇是前亚马逊 S3的员工。

   
   

2. 佩奇拿到了大量的Captial One的数据。

   
   

3. 佩奇在社交网上的截屏，显示她其实还拿到了其他公司的大量数据。

   
   

未知的：

1. 她究竟是通过什么具体手段拿到的Capital One的数据？

   
   

2. 为什么这个也影响到了其他公司？

   
   

3. 亚马逊的合规方面，是不是也存在问题？

   
   

Capital One是AWS金融合作领域里面的标杆。直到今天Capital One还是AWS金融领域合作case study的样板。

按照理论上来讲，AWS有一套非常复杂的IAM身份权限管理系统，理论上来讲是不会出问题的。

现在佩奇是具体用了什么技术收单黑进去的，一直没有披露。

到底是她发现了AWS的漏洞，还是发现了Capital One的默认配置有问题？

根据她在github上post出来的截图，她不仅仅黑了Capital One一家的数据，而且还黑了一片公司的数据。

这个除了前面两个文件是Capital One的，其他的数据包含了apperian、ford、global Garner、infoblox、unicredit等等公司的数据，貌似还有S3的开发，devops代码。

看样子，很可能是偷了亚马逊内部的代码出来，然后研究了很久很久才慢慢发现了漏洞。

这就解释了，为啥她在Twitter上发布在自学IDAPro的信息。玩这个的都是搞破解的，逆向工程的。很有可能她从公司偷了一部分模块出来，没有代码只有binary，她拿这个工具进行破解分析。

但也有可能是，AWS某个不太常用的配置缺省值有问题，导致了数据泄漏的惨剧。因为这个真的发生过。国内的某云，年前爆出了一个漏洞将大量的公司的私有源代码发布到公网上面去了。原因是很多ops对某个权限的理解有错误。

在更多技术细节披露出来之前，现在只能猜测。如果单单一家企业的数据泄漏，那么怎么解释都可以。但是如果是一批企业出问题这又该如何解释？

从security model来讲，这是严重的security breach啊！

另外，这个事件，还提出了一个严肃的内部安全问题。

美国公司管得非常松，对员工绝大多数情况下都是极端信任的。这也是为啥有人能大量拷贝代码回国创业的事情时有发生。不像某司公司的USB口都是贴住的。但是随着美国越来越多关系到国计民生的企业，全面上云，带来的挑战就格外巨大。如何防止来自内部的威胁将越来越重要。

如果最后确认这个佩奇是利用她从亚马逊内部偷出来代码黑进S3的，那么亚马逊的compliance team会有巨大的压力，这种级别的security breach是非常致命的。

影响百亿美元利益的争夺

估计谁也没有想到在争夺JEDI花落谁家的这个节骨眼上，AWS发生如此大影响的事情。这个事情可以写小说。事情要从JEDI云说起。

2018年，美国五角大楼（即国防部）宣布了联合企业防御计划（Joint Enterprise Defense Initiative，缩写为 JEDI，也是电影《星球大战》里 “绝地武士” 的意思，代表正义一方），也被称为JEDI云项目，并且明确指出了该计划的目的：“这个计划就是为了提高国防部的杀伤力，为我们的军队提供最好的资源。”

这个订单将持续十年，总价值超过百亿美元。

JEDI项目通过把国防部的计算系统迁移到云端，将美国的军队系统“带入新世纪”。五角大楼表示，这样做有很多好处，比如有助于他们在数据分析工作中引入人工智能；为士兵执行任务期间提供实时数据等等。

对美国科技公司来说，JEDI不仅仅是一块超级“肥肉”——谁能和国防部签下协议拿到订单，谁就可能在在接下来数年内踢开竞争对手，获得接近垄断的政府技术供应商地位。

本来从市场份额来讲，这个事情极大概率会落到AWS那边去。但是另外几家公司也不服气。毕竟这是生死攸关的项目。甲骨文、IBM、微软、谷歌都和亚马逊打的头破血流。其中最有竞争力的就是亚马逊和微软。甲骨文在互联网时代被抛弃后，这几年拼命砸钱搞cloud，但是还是排不上号。

为了获得这块超级大蛋糕，几家主流科技公司，一改往日和平共处的局面，直接撕到了台面上各种drama。 

甲骨文这边最狗血，因为国防部负责招投标的一名工作人员Deap Ubhi，是前亚马逊员工，在国防部做决定的过程中起到了关键作用，事后又回到了亚马逊。甲骨文抓住了这个漏洞，把亚马逊给告了，要求法院暂停合同，查个水落石出。

本来吧，这个案子，下个星期就要正式公布了，然后出了这么一档子事情。

这件事情，最后的最大的得利者，很有可能是微软Azure。

亚马逊这个心里苦啊，眼看要进洞房了，被拉到国会去检查。而且这种超级大系统的安全问题，又不是一天两天能说完的。做一次合规性审查估计几个月就过去了。

人的一生当然要靠自我奋斗，当然也要考虑历史的进程

本文来自微信公众号：西雅图雷尼尔（ID：rainierstore），作者：西雅图雷尼尔，标题图来自视觉中国，原标题《百亿国防订单突起波澜：因CapitalOne事件，国会要求对亚马逊的安全性进行质询！》