Dziesięć wykroczeń Amazon S3 ubiegłego roku

amazon bitdefender
31
Sty
2018

no comment Paulina P

W zeszłym roku poinformowano o fałszywych ostrzeżeniach od osób niepowołanych o bezpieczeństwie dotyczącym niezdyscyplinowanego korzystania z architektury chmury. Choć wiele organizacji sukcesywnie pracuje nad tym, aby zabezpieczyć dane, przechowywane w sklepach w chmurze,to jednak nadal jest jeszcze dużo do zrobienia w tej dziedzinie.W dalszym ciągu obserwujemy rosnącą liczbę incydentów, spowodowanych wyjątkowo słabym poziomem bezpieczeństwa w zasobnikach magazynowych Amazon Simple Storage Service (S3), które przechowują bardzo poufne informacje.

Według ostatnich statystyk, aż 7% wszystkich serwerów S3 było publicznie dostępnych bez jakiegokolwiek uwierzytelnienia, a 35% z nich nie zostało zaszyfrowanych.

Oto niektóre z najgorszych ostatnich wycieków spowodowanych źle skonfigurowanymi zasobami Amazon S3.

Booz Allen Hamilton

Kontrahent z USA pozostawił dostęp do danych, poprzez niezabezpieczone konto S3, które zawierało pliki związane z Narodową Agencją Geoinformacyjną (NGA). Wiadomo ,że obsługuje ona zdjęcia satelitarne i drony na polu bitwy. Booz Allen twierdzi, że same dane nie były bezpośrednio połączone z systemami tajnymi, jednak można było uzyskać do nich dostęp, dzięki dołączonym zdalnym kluczom logowania i danym uwierzytelniającym, które mogły zostać wykorzystane w celu pozyskania poufnych danych.

US Voter Records

Partia Republikańska wspierała firmę big data, Deep Root Analytics, narażając dane osobowe i dane profilowania głosujących, przechowując je na szeroko otwartym serwerze S3. Skarbnica informacji łączyła publicznie dostępne informacje wyborców z dodatkowymi danymi pozyskanymi podczas badań rynkowych. Dzięki temu sprawdzono informacje, dotyczące indywidualnych wyborców co do prawdopodobieństwa zachowania się ich podczas głosowania w nadchodzących wyborach.

Dow Jones & Co

Wall Jones, Dow Jones & Co, ujawniła informacje osobiste o ponad 2 milionach klientów poprzez niechlujną konfigurację S3. W tym przypadku umożliwiono dostęp każdemu, kto posiadał bezpłatne konto AWS, do serwera, zawierającego miliony danych kont klientów, a także innej bazy danych, zawierającej dane konsumenckie milionów ludzi, w celu zapewnienia zgodności z przepisami dotyczącymi przeciwdziałania praniu pieniędzy.

WWE

Fani WWE wpadli w złość, gdy firma ujawniła informacje na ich temat, w tym adresy, daty urodzenia, poziom wykształcenia, pochodzenie etniczne, zarobki i przedziały wiekowe ich dzieci. Baza danych, zawierająca dane osobowe trzech milionów osób, została znaleziona na serwerach S3, niezabezpieczonych żadnym rodzajem uwierzytelniania.

Verizon Wireless

Słabo zabezpieczone systemy S3, dwukrotnie, w zeszłym roku, uderzyły Verizona przy pomocy pary wysokoprofilowych ekspozycji danych. Za pierwszym razem spowodowano wyciek z 6 milionów rekordów klientów, gdy pracownik firmy Verizon, Nice Systems, umieszczał informacje o dziennikach z zgłoszeń serwisowych, na publicznie dostępnym serwerze S3. Kolejny incydent S3 miał miejsce kilka miesięcy później. Tym razem inżynier z Verizon założył fałszywe i niezabezpieczone konto S3, które zawierało macierzystą, zastrzeżoną informację techniczną. Obejmowały one dane na temat oprogramowania pośredniego firmy, komunikacji wewnętrznej, dzienników produkcji, szczegółów architektury serwera i danych logowania.

Time Warner Cable

Zewnętrzny dostawca Time Warner Cable, obecnie Spectrum Cable, ujawnił informacje o kliencie: zastrzeżony kod i zdalne dane logowania za pośrednictwem kiepskich praktyk konfiguracyjnych S3. Zerwanie nastąpiło z rąk dostawcy technologii BroadSoft, który ujawnił dane za pomocą dwóch S3 skonfigurowanych tak, aby były otwarte publicznie.

Pentagon Explosures

Departament Obrony USA (DOD) poinformował o wyciekach, dokonanych zeszłej jesieni. Były one wynikiem systematycznie lekceważonych symptomów ryzyka, stwarzanych przez źle skonfigurowane Amazon S3. Wśród odkrytych wycieków znalazło się archiwum szpiegowskie, które zawierało ponad 1,8 miliarda postów w mediach społecznościowych, skradzionych do celów analitycznych. Wykorzystano również metadane i prywatne klucze szyfrujące, używane do mieszania haseł dostępu do platformy wymiany danych wywiadowczych, używanych do łączenia systemów Pentagonu i tysiąca CV dla osób poszukujących pracy.

Accenture

Prawdopodobnie jeden z najbardziej szkodliwych przecieków w 2017 roku z punktu widzenia ryzyka biznesowego. Ekspozycja zawierała co najmniej cztery S3, ustawione publicznie. Zawierały one ogromną ilość danych infrastruktury krytycznych. Wyciekło 40 000 haseł zapisanych w postaci zwykłego tekstu, informacje architektoniczne, kod dla platformy chmury obliczeniowej klienta, klucze odszyfrowywania, certyfikaty, dane API i dane logowania administratora.

National Credit Federation

Ta usługa naprawy kredytowej naraziła stabilność finansową dziesiątek tysięcy klientów na poważne ryzyko, gdy pozostawia bardzo szczegółowe informacje finansowe publicznie dostępne na S3. Informacje obejmowały dane karty kredytowej, dane rachunku bankowego, pełne raporty kredytowe i wszelkie inne szczegóły niezbędne do kradzieży tożsamości i popełnienia oszustwa w ich imieniu.

Alteryx

Ta firma marketingowo-analityczna, która sprzedaje agregację danych i analizy do celów marketingowych, naraziła wrażliwe dane większości amerykańskich gospodarstw domowych. Wspomniana baza danych zawierała adresy, numery telefonów, własność hipoteki, pochodzenie etniczne i dane osobowe dotyczące 123 milionów gospodarstw domowych, o 3 miliony mniej, niż wszystkie gospodarstwa domowe zarejestrowane w tym kraju. Wszystko to zostało udostępnione publicznie w dostępnej pamięci podręcznej S3.

Liczba ataków stale rośnie

„Niestety przedstawione w artykule informacje o atakach tylko potwierdzają to, że jesteśmy stale narażeni na wyciek danych. Co gorsza, często winnymi tego typu sytuacji jesteśmy my sami, ponieważ nie zwracamy uwagi na zabezpieczenia. Kradzież danych może być wykorzystana do wielu różnych celów, dlatego należy przede wszystkim zwracać uwagę na to, jaki jest poziom zabezpieczeń, aby nie doszło do sytuacji, w których boimy się o dane przechowywane na serwerze.” – powiedziała Natalia Kowalska, promotor marki Bitdefender w Polsce.

Informacje można wykorzystać podając markę Bitdefender jako źródło.
Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.

Zapisz się do newslettera

Wyrażam zgodę na na przetwarzanie moich danych osobowych w celu wysłania newsletter\'a i otrzymywania informacji o nowościach, produktach i ofertach firmy "MARKEN SYSTEMY ANTYWIRUSOWE" Marek Markowski z siedzibą przy ul. Jana Hieronima Derdowskiego 7, 81-369 Gdynia przez Marken Systemy Antywirusowe z siedzibą w Gdyni, przy ul Jana Hieronima Derdowskiego 7 zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000). Podanie danych jest dobrowolne. Przysługuje mi prawo dostępu do moich danych oraz ich poprawiania i usunięcia.

Wyrażam zgodę na przesyłanie mi informacji handlowych drogą elektroniczną przez "MARKEN SYSTEMY ANTYWIRUSOWE" Marek Markowski z siedzibą przy ul. Jana Hieronima Derdowskiego 7, 81-369 Gdynia. zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000)