Private Amazon-nøgler fra DXC havnet på GitHub: Misbrugt til at starte 244 VM'er

DXC Technologies AWS-nøgler er havnet i et åbent GitHub-repository og misbrugt til starte 244 VM'ere i skytjenesten.

En ansat ved DXC Technologies er ved en fejl kommet til at offentliggøre virksomhedens private nøgler til Amazons skytjeneste AWS på GitHub. Nøglerne har været hardcoded ind i kildekode, som har ligget frit tilgængelig på kodetjenesten.

Det oplyser The Register, der er kommet i besiddelse af en intern PDF-skrivelse sendt rundt til de ansatte i DXC Technologies.

Nøglerne er blevet misbrugt til at opstarte 244 virtuelle maskiner hos AWS. Regningen alene for de virtuelle instanser er på 64.000 dollars, hvilket svarer til ca. 400.000 kroner.

Flere nøgler til AWS var hardcodede ind i et software-projekt hos DXC, som blev delt mellem flere medarbejdere internt i virksomheden. 27. september uploadede en medarbejder kode til den offentlige GitHub, hvorefter nøglerne blev lækket.

Herefter er det blevet misbrugt til at starte de 244 virtuelle maskiner op i AWS.

Trøffelsvin

Udover de 64.000 dollars er datalækket forbundet med andre omkostninger, som der endnu ikke er sat en pris på. I den interne skrivelse, som The Register er i besiddelse af, står blandt andet følgende:

»... having to change all the variables, username and passwords. Rotate the keys and create secure areas to store these details means the project lost two to four weeks delivery time ...«

Hemmelige nøgler, der ved en fejl bliver tilgængelig i åben GitHub-kode, er en kendt problemstilling.

Hvis du går og er i tvivl om, hvorvidt du kom til at efterlade den hemmelige nøgle til Amazons AWS-skytjeneste eller lignende til offentligt skue i dit GitHub-projekt, så kan Truffle Hog (da. trøffelsvin) måske hjælpe.

Version2 har tidligere omtalt Python-værktøjet, der ligger på GitHub. Ifølge softwarens beskrivelse, gennemsøger Truffle Hog git-repositories for at finde strenge med høj entropi.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Tobias Tobiasen

"Hvis du går og er i tvivl om, hvorvidt du kom til at efterlade den hemmelige nøgle til Amazons AWS-skytjeneste eller lignende til offentligt skue i dit GitHub-projekt, så kan Truffle Hog (da. trøffelsvin) måske hjælpe."

I AWS burde du ikke bruge hemmelige nøgler. Så hvis du overhovedet har en hemmelig nøgle så har du et potentielt sikkerheds problem da den jo kan stjæles.
Den gode løsning er at bruge roller til maskiner (eller docker containere) i stedet. Det er lettere at bruge end nøgler og de skiftet automatisk flere gange om dagen.
Roller gør det også meget lettere den dag en medarbejder stopper. Da medarbejderen ikke har nøglen så behøver man ikke skifte den...

"Rotate the keys and create secure areas to store these details means the project lost two to four weeks delivery time ..."
Tjah. Hvis en mistet nøgle tager 2-4 uger for hele teamet så gør de det forkert. Hvis man endelig skal bruge nøgler har man vel procedurer for at skifte dem med jævne mellemrum eller når en medarbejder stopper.

Povl H. Pedersen

For dem der ikke kender DXC, så er det CSC der følte at deres 3-bogstavers forkortelse var blevet for belastet, så de valgte 3 nye bogstaver til at signalere at de fortsat er en stor spiller der er ligeså troværdig som man forventer af 3-bogstavers kæmper (CSC, KMD, IBM, TDC etc).

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017