Warum 123 Millionen sensible Daten erneut bei AWS S3 offen lagen

Bucket-Settings ändern ist leicht (Screenshot AWS S3-Dashboard).
Die "Trophäensammlung" von Chris Vickery, Cloud-Securityforscher bei UpGuard, umfasst schon Accenture, die Stadt Chicago, das US Republican National Committee, die NSA, Booz Allen Hamilton und Verizon. Nun hat Vickery die Data-Analyctics-Spezialisten Alteryx und die Bonitätsprüfer Experian dabei erwischt, dass sie Daten von 123 Millionen US-Kunden offen auf einem AWS-Server herumliegen liessen. Die persönlichen Daten umfassen laut UpGuard zwar keine Namen, aber neben Adressen auch Hypotheken-Informationen und Analysen zum Kaufverhalten und persönlichen Interessen. Hinzu kommen Daten aus der US-Volkszählung 2010, die allerdings auch öffentlich erhältlich sind.
 
Immer war der Simple Storage Service (S3) involviert und es hätte keine Hacker-Kenntnisse gebraucht, um an die sensiblen Daten heranzukommen.
 
Und warum lagen all die Daten einfach offen für jedermann mit einem AWS-Login herum? Alteryx hatte die Default-Privacy-Settings des S3-Buckets (eine von AWS so bezeichnete logische Speichereinheit, die aus Daten und Metadaten besteht) geändert auf "Permissions Public".
 
In diesem Falle, so Dan O'Sullivan von Upguard zu 'The Register', "braucht es einfach gesagt bloss ein Dummy-Login für einen kostenlosen AWS-Account mit einer neuen E-Mail-Adresse, um an die Daten des Buckets zu kommen."
 
Alteryx-CEO Dean Stoecker teilte inzwischen mit, man habe die Lücke geschlossen und die Security-Massnahmen verbessert. "Wir werden für alle Datensätze, die wir unseren Kunden anbieten, ein ähnliches Mass an erhöhter Sicherheit beibehalten."
 
Das Problem ist nicht S3
AWS selbst wirbt für S3 wie folgt: "S3 bietet umfassende Sicherheits- und Compliance-Funktionen, die selbst strengste regulatorische Anforderungen erfüllen. Es bietet Kunden Flexibilität bei der Verwaltung von Daten zur Kostenoptimierung, Zugriffskontrolle und Compliance."
 
Wer die Properties für ein S3-Bucket festlegt, der sieht, dass unter "Manage public permissions" die Default-Einstellung lautet "Do not grant public read access to this bucket (Recommended)". Man muss die Default-Einstellung also aktiv ändern wollen. Und viele Firmen ändern die Settings laut 'The Register' aus Bequemlichkeit, beispielsweise bei der Zusammenarbeit mit Partnern.
 
Das Problem war so offensichtlich, dass AWS eine leuchtend orange Warnung im S3-Dashboard anzeigt (s. Screenshot oben).
 
Ist das Handling von S3-Buckets einfach für viele Firmenverantwortliche zu simpel? Ja. Denn manuelle, interne Fehlkonfigurationen dieser Sorte sind häufig: Laut Gartner resultieren 70 bis 99 Prozent der Datenlecks daraus und nicht aus den Attacken superkluger Hacker.
 
Zwischenbilanz: Addiert man all die diesjährigen Leaks und Breaches in USA, inklusive diejenigen des Experian-Konkurrenten Equifax, so ist 2017 wohl schlicht jeder Konsument in den USA Opfer geworden, einige vermutlich mehrfach. (Marcel Gamma)