Dziesięć wykroczeń Amazon S3 ubiegłego roku

W zeszłym roku udowodniono ostrzeżenia osób niepowołanych o bezpieczeństwie dotyczące niezdyscyplinowanego korzystania z architektury chmury. Podczas gdy wiele organizacji ciężko pracuje, aby zabezpieczyć dane przechowywane w sklepach w chmurze, prawdą jest, że jest jeszcze dużo pracy do zrobienia. Fakt ten jest wyraźnie zaznaczony przez rosnącą liczbę incydentów spowodowanych wyjątkowo słabym poziomem bezpieczeństwa w zasobnikach magazynowych Amazon Simple Storage Service (S3), które przechowują bardzo poufne informacje. 

Według ostatnich statystyk aż 7% wszystkich serwerów S3 było całkowicie publicznie dostępnych bez żadnego uwierzytelnienia, a 35% nie jest szyfrowanych. Oto niektóre z najgorszych ostatnich wycieków spowodowanych źle skonfigurowanymi zasobami Amazon S3.

Booz Allen Hamilton

Kontrahent z USA pozostawił publicznie dostęp do danych poprzez niezabezpieczone konto S3, które zawiera pliki związane z Narodową Agencją Geoinformacyjną (NGA), która obsługuje zdjęcia satelitarne i drony na polu bitwy. Booz Allen twierdzi, że same dane nie były połączone z systemami tajnymi, ale do danych dołączono zdalne klucze logowania i dane uwierzytelniające, które mogły zostać wykorzystane do dostępu do bardziej poufnych danych.

US Voter Records

Partia Republikańska wspierała firmę big data, Deep Root Analytics, narażając dane osobowe i dane profilowania głosujących, przechowując je na szeroko otwartym serwerze S3. Skarbnica informacji łączy publicznie dostępne informacje wyborców z dodatkowymi danymi z badań rynkowych, aby sprawdzić informacje dotyczące indywidualnych wyborców co do prawdopodobieństwa ich zachowania w zakresie głosowania w nadchodzących wyborach.

Dow Jones & Co

Wall Jones, Dow Jones & Co, ujawniła informacje osobiste o ponad 2 milionach klientów poprzez niechlujną konfigurację S3. W tym przypadku zostały ustawione uprawnienia umożliwiające każdemu z bezpłatnym kontem AWS dostęp do serwera zawierającego miliony danych kont klientów, a także innej bazy danych zawierającej dane konsumenckie dotyczące milionów ludzi w celu zapewnienia zgodności z przepisami dotyczącymi przeciwdziałania praniu pieniędzy.

WWE

Fani WWE wpadli w złość, gdy firma ujawniła informacje na ich temat, w tym adresy, daty urodzenia, wykształcenie, pochodzenie etniczne, zarobki i przedziały wiekowe dzieci. Baza danych zawierająca dane osobowe trzech milionów osób została znaleziona na serwerach S3 niezabezpieczonych żadnym rodzajem uwierzytelniania.

Verizon Wireless

Słabo zabezpieczone systemy S3 uderzyły Verizona nie raz, ale dwa razy w zeszłym roku, za pomocą pary wysokoprofilowych ekspozycji danych. Pierwszym z nich był wyciek 6 milionów rekordów klientów, gdy pracownik firmy Verizon, Nice Systems, umieszczał informacje o dziennikach z zgłoszeń serwisowych na publicznie dostępnym serwerze S3. Kolejny incydent S3 miał miejsce kilka miesięcy później. Tym razem inżynier z Verizon założył fałszywe – i niezabezpieczone – konto S3, które zawierało macierzystą zastrzeżoną informację techniczną. Obejmowały one dane na temat oprogramowania pośredniego firmy, komunikacji wewnętrznej, dzienników produkcji, szczegółów architektury serwera i danych logowania.

Time Warner Cable

Zewnętrzny dostawca Time Warner Cable, obecnie Spectrum Cable, ujawnił informacje o kliencie, zastrzeżony kod i zdalne dane logowania za pośrednictwem kiepskich praktyk konfiguracyjnych S3. Zerwanie nastąpiło z rąk dostawcy technologii BroadSoft, który ujawnił dane za pomocą dwóch S3 skonfigurowanych tak, aby były otwarte publicznie.

Pentagon Explosures

Departament Obrony USA (DOD) opublikował ogłoszenia o wyciekach zeszłej jesieni, które wykazały systematyczne lekceważenie ryzyka stwarzanego przez źle skonfigurowane Amazon S3. Wśród odkrytych wycieków znalazło się archiwum szpiegowskie, które zawierało ponad 1,8 miliarda postów w mediach społecznościowych skradzionych do celów analitycznych, metadane i prywatne klucze szyfrujące używane do mieszania haseł dostępu do platformy wymiany danych wywiadowczych używanych do łączenia systemów Pentagonu i tysiące CV dla osób poszukujących pracy.

Accenture

Prawdopodobnie jeden z najbardziej szkodliwych przecieków w 2017 roku z punktu widzenia ryzyka biznesowego. Ekspozycja zawierała co najmniej cztery S3 ustawione publicznie zawierające ogromną ilość danych infrastruktury krytycznych. W wycieku znalazło się 40 000 haseł zapisanych w postaci zwykłego tekstu, informacje architektoniczne i kod dla platformy chmury obliczeniowej klienta, klucze odszyfrowywania, certyfikaty, dane API i dane logowania administratora.

National Credit Federation

Ta usługa naprawy kredytowej naraziła stabilność finansową dziesiątek tysięcy klientów na poważne ryzyko, gdy pozostawia bardzo szczegółowe informacje finansowe publicznie dostępne na S3. Informacje obejmowały dane karty kredytowej, dane rachunku bankowego, pełne raporty kredytowe i wszelkie inne szczegóły niezbędne do kradzieży tożsamości i popełnienia oszustwa w ich imieniu.

Alteryx

Ta firma marketingowo-analityczna, która sprzedaje agregację danych i analizy do celów marketingowych, naraziła wrażliwe dane większości amerykańskich gospodarstw domowych. Wspomniana baza danych zawierała adresy, numery telefonów, własność hipoteki, pochodzenie etniczne i dane osobowe dotyczące 123 milionów gospodarstw domowych, o 3 miliony mniej niż wszystkie gospodarstwa domowe zarejestrowane w tym kraju. Wszystko to zostało udostępnione publicznie w dostępnej pamięci podręcznej S3.

Liczba ataków stale rośnie

„Niestety przedstawione w artykule informacje o atakach tylko potwierdzają to, że jesteśmy stale narażeni na wyciek danych. Co gorsza, często winnym tego typu sytuacji jesteśmy my sami nie zwracając uwagi na zabezpieczenia. Kradzież danych może być wykorzystana do wielu różnych celów, dlatego też należy przede wszystkim zwracać uwagę na to jaki jest poziom zabezpieczeń, aby nie doszło do sytuacji w których boimy się o dane przechowywane na serwerze.” – powiedziała Natalia Kowalska, promotor marki Bitdefender w Polsce. 

Informacje można wykorzystać podając markę Bitdefender jako źródło.

Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.