Gevoelige gegevens in Amazon S3-buckets


Bedrijven die Amazon S3 (Simple Storage System) gebruiken voor back-ups of om documenten op te slaan, blijken niet altijd even veel aandacht te besteden aan de beveiliging ervan, zo bleek uit onderzoek van Rapid7. In S3 is de opslag onderverdeeld in zogenoemde buckets, die elk een unieke URL hebben, zoals http://bucketname.s3.amazonaws.com. Een bucket kan public of private zijn. Een public bucket kan door iedereen worden bekeken; vul je de URL in je webbrowser in, dan krijg je een XML-bestand te zien met de lijst van beschikbare bestanden en directory’s in de bucket. Bij een private bucket kan alleen iemand met de juiste permissies die informatie opvragen; anderen krijgen de melding Access Denied. De naam van een bucket is echter meestal niet willekeurig, en daarvan maakten de onderzoekers van Rapid7 gebruik. Ze probeerden allerlei bucketnamen uit en keken of er op de bijbehorende URL iets was te zien. Ze vonden op die manier 12.328 buckets, waarvan 1951 ofwel bijna een zesde publiek. Vaak is een bucket met een reden publiek gemaakt, omdat de bestanden bijvoorbeeld voor een publieke website worden gebruikt. Rapid7 bekeek echter ook een sample van veertigduizend van de 126 miljard bestanden uit de gevonden publieke buckets. Wat vonden ze zoal? Verkoopcijfers van een autohandelaar, persoonlijke informatie uit een werknemersdatabase, PHP-broncode met gebruikersnamen en wachtwoorden, evenals heel wat tekstdocumenten die waren aangeduid als Confidential of Private...

https://community.rapid7.com/community/infosec/ blog/2013/03/27/1951-open-s3-buckets

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Linux Nieuws: @SUSE bestaat 25 jaar en trakteert! Maak kans op entreeticket voor #SUSECON in Praag, zie link!… https://t.co/ENJKDvyZQ8
linuxmagNL De nieuwe editie van Linux Magazine is weer uit! Thema: bescherm jezelf tegen hackers met Linux. Veel leesplezier a… https://t.co/Zcy3Zdjb90
linuxmagNL Ook de Red Hat Forum BeNeLux 2017 mag je dit jaar niet missen. 10 oktober 2017, zet het in je agenda! https://t.co/niY9UdK3Ov