Én ud af 14 Amazon-skyservere står pivåbne

Og 35 procent glemmer at kryptere data.

Ifølge sikkerhedsfirmaet Skyhigh Networks er der uhindret adgang til syv procent af alle 'buckets' - objektlagre - i Amazons S3-skyservere. Derudover består 35 procent af alle buckets af ukrypterede data.

Open source-værktøjer på Github såsom AWSBucketDump kan gøre det nemt at finde sådanne buckets.

Det skriver Bleeping Computer.

Læs også: Slåfejl lagde Amazons storage-servere ned

I løbet af det seneste år har der været en stigning i rapporterede læk fra Amazons servere, som har givet adgang til private data på borgere.

Lækagerne stammede blandt andet fra store amerikanske virksomheder. Booz Allen Hamilton lækkede medarbejder-data og adgangskoder til offentlige systemer, Verizon lækkede kundedata, og vælgerdata på 198 millioner borgere indsamlet af tre dataindsamlingsselskaber med forbindelser til det republikanske parti, har også været tilgængelige.

En anden database lækkede personlige data på personer, der har søgt job med højeste sikkerhedsgodkendelse i den amerikanske administration.

Læs også: Amazon-service går ned i USA og trækker en lang række hjemmesider og apps med i faldet

I næsten alle tilfælde var det virksomhederne selv, der havde åbnet ladeporten.

Nogle virksomheder tror fejlagtigt, at hvis de er de eneste, som kender databasens URL, kan andre ikke få adgang. Det kan midlertidigt lade sig gøre ved hjælp af såkaldte man-in-the-middle-angreb, når medarbejdere uforvarende lækker oplysninger, eller ved blot at gennemtrawle et stort antal domænenavne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Finnemann Jensen
  1. Public buckets er fint til offentlig data
  2. Der er ingen grund til kryptere offentlig data

Jeg kan godt lide at lukke for object-listing for at tvinge folk gennem mit API..
Men jeg kan godt forstå at man fra vælger den slags, da det giver 403 istedet for 404 når et objekt ikke kan findes.

Personlig giver jeg ikke meget for Amazons server-side kryptering, det er måske en smule bedre end ingenting.. Men end-to-end er det eneste der for rigtigt gør en forskel.

  • 0
  • 0
Log ind eller Opret konto for at kommentere