Gevoelige gegevens in Amazon S3-buckets


Bedrijven die Amazon S3 (Simple Storage System) gebruiken voor back-ups of om documenten op te slaan, blijken niet altijd even veel aandacht te besteden aan de beveiliging ervan, zo bleek uit onderzoek van Rapid7. In S3 is de opslag onderverdeeld in zogenoemde buckets, die elk een unieke URL hebben, zoals http://bucketname.s3.amazonaws.com. Een bucket kan public of private zijn. Een public bucket kan door iedereen worden bekeken; vul je de URL in je webbrowser in, dan krijg je een XML-bestand te zien met de lijst van beschikbare bestanden en directory’s in de bucket. Bij een private bucket kan alleen iemand met de juiste permissies die informatie opvragen; anderen krijgen de melding Access Denied. De naam van een bucket is echter meestal niet willekeurig, en daarvan maakten de onderzoekers van Rapid7 gebruik. Ze probeerden allerlei bucketnamen uit en keken of er op de bijbehorende URL iets was te zien. Ze vonden op die manier 12.328 buckets, waarvan 1951 ofwel bijna een zesde publiek. Vaak is een bucket met een reden publiek gemaakt, omdat de bestanden bijvoorbeeld voor een publieke website worden gebruikt. Rapid7 bekeek echter ook een sample van veertigduizend van de 126 miljard bestanden uit de gevonden publieke buckets. Wat vonden ze zoal? Verkoopcijfers van een autohandelaar, persoonlijke informatie uit een werknemersdatabase, PHP-broncode met gebruikersnamen en wachtwoorden, evenals heel wat tekstdocumenten die waren aangeduid als Confidential of Private...

https://community.rapid7.com/community/infosec/ blog/2013/03/27/1951-open-s3-buckets

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Overheden in Nederland en andere Europese landen richten clouddiensten in op basis van open source cloud bouwstenen… https://t.co/T2uXlcRpHZ
22hreplyretweetfavorite
linuxmagNL Gitea is een open source Github alternatief dat je in minder dan een kwartiertje installeert. Het biedt vergelijkba… https://t.co/zwbNKTbIBh
linuxmagNL Bij een goede back-upstrategie hoort ook een back-up op een andere locatie, zoals in de cloud. Rclone ondersteunt e… https://t.co/KSv5GaVKKP