Én ud af 14 Amazon-skyservere står pivåbne

Og 35 procent glemmer at kryptere data.

Ifølge sikkerhedsfirmaet Skyhigh Networks er der uhindret adgang til syv procent af alle 'buckets' - objektlagre - i Amazons S3-skyservere. Derudover består 35 procent af alle buckets af ukrypterede data.

Open source-værktøjer på Github såsom AWSBucketDump kan gøre det nemt at finde sådanne buckets.

Det skriver Bleeping Computer.

Læs også: Slåfejl lagde Amazons storage-servere ned

I løbet af det seneste år har der været en stigning i rapporterede læk fra Amazons servere, som har givet adgang til private data på borgere.

Lækagerne stammede blandt andet fra store amerikanske virksomheder. Booz Allen Hamilton lækkede medarbejder-data og adgangskoder til offentlige systemer, Verizon lækkede kundedata, og vælgerdata på 198 millioner borgere indsamlet af tre dataindsamlingsselskaber med forbindelser til det republikanske parti, har også været tilgængelige.

En anden database lækkede personlige data på personer, der har søgt job med højeste sikkerhedsgodkendelse i den amerikanske administration.

Læs også: Amazon-service går ned i USA og trækker en lang række hjemmesider og apps med i faldet

I næsten alle tilfælde var det virksomhederne selv, der havde åbnet ladeporten.

Nogle virksomheder tror fejlagtigt, at hvis de er de eneste, som kender databasens URL, kan andre ikke få adgang. Det kan midlertidigt lade sig gøre ved hjælp af såkaldte man-in-the-middle-angreb, når medarbejdere uforvarende lækker oplysninger, eller ved blot at gennemtrawle et stort antal domænenavne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
Jonas Finnemann Jensen
  1. Public buckets er fint til offentlig data
  2. Der er ingen grund til kryptere offentlig data

Jeg kan godt lide at lukke for object-listing for at tvinge folk gennem mit API..
Men jeg kan godt forstå at man fra vælger den slags, da det giver 403 istedet for 404 når et objekt ikke kan findes.

Personlig giver jeg ikke meget for Amazons server-side kryptering, det er måske en smule bedre end ingenting.. Men end-to-end er det eneste der for rigtigt gør en forskel.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017