Beveiliger vindt duizenden slecht afgestelde S3 buckets met gevoelige info
Een beveiliger heeft duizenden slecht ingestelde S3 ‘storage buckets’, cloudopslagmappen op AWS, gevonden. De buckets bevatten vaak gevoelige informatie die gebruikt kan worden om de bedrijven in kwestie aan te vallen.
De buckets zijn een ramp in wording, zegt Truffle Security, dat het internet afschuimde op zoek naar onbeveiligde opslag. Het bedrijf gebruikt automatisch zoekmachines om slecht afgestelde mappen te zoeken, en vond zo’n 4.000 open Amazon S3 buckets met daarin gevoelige informatie voor bedrijven. Onder meer inloggegevens voor diensten als Paypal, Coinbase, Dropbox, Google en Twitter, credentials voor databases en servers, securitysleutels en API-sleutels liggen zo te grabbel op het net.
S3 buckets, een populair cloudopslagmedium van AWS, laten toe om informatie openbaar of geheim te houden. Veel bedrijven gebruiken ze bijvoorbeeld net om gegevens te delen, maar de buckets in het rapport zijn van een ander soort, schrijft Truffle Security. Het bedrijf zegt dat het zo’n 2,5 ‘geheimen’ vond in elk document dat het analyseerde.
De beveiliger zegt dat hij de bedrijven in kwestie probeert te contacteren, en in het geval dat niet lukt, samenwerkt met AWS om de buckets van het net te halen. Bij de bedrijven zitten NGO’s en kleinere start-ups, maar ook bedrijven op de Fortune 500 lijst.
Dat bedrijven hun S3 buckets slecht afstellen is niet nieuw. Onbeveiligde buckets lekten de voorbije jaren bijvoorbeeld Facebookdata, zakelijke mailboxen en Dow Jones gebruikersgegevens. Dat is voor alle duidelijkheid niet de schuld van AWS. De cloudprovider geeft zijn gebruikers wel degelijk de tools om hun opslag te beveiligen. Vaak wordt dat echter vergeten, en het zoeken naar onbeveiligde opslag en databases is voor iemand met kennis van zaken vrij makkelijk. Eind juli zagen we bijvoorbeeld al een bot die slecht beveiligde databanken (deze keer op MongoDB en ElasticSearch) automatisch vernietigt. Die bot heeft ondertussen duizenden databanken van het net gehaald. Truffle Security verwijdert geen gegevens, maar waarschuwt wel dat iemand met minder goede bedoelingen de data kan gebruiken als aanvalsvector.
Fout opgemerkt of meer nieuws? Meld het hier