Warum 123 Millionen sensible Daten erneut bei AWS S3 offen lagen

21. Dezember 2017, 13:33
  • security
  • aws
  • amazon
  • breach
  • cloud
  • accenture
image

Die "Trophäensammlung" von Chris Vickery, Cloud-Securityforscher bei UpGuard, umfasst schon Accenture, die Stadt Chicago, das US Republican National Committee, die NSA, Booz Allen Hamilton und Verizon.

Die "Trophäensammlung" von Chris Vickery, Cloud-Securityforscher bei UpGuard, umfasst schon Accenture, die Stadt Chicago, das US Republican National Committee, die NSA, Booz Allen Hamilton und Verizon. Nun hat Vickery die Data-Analyctics-Spezialisten Alteryx und die Bonitätsprüfer Experian dabei erwischt, dass sie Daten von 123 Millionen US-Kunden offen auf einem AWS-Server herumliegen liessen. Die persönlichen Daten umfassen laut UpGuard zwar keine Namen, aber neben Adressen auch Hypotheken-Informationen und Analysen zum Kaufverhalten und persönlichen Interessen. Hinzu kommen Daten aus der US-Volkszählung 2010, die allerdings auch öffentlich erhältlich sind.
Immer war der Simple Storage Service (S3) involviert und es hätte keine Hacker-Kenntnisse gebraucht, um an die sensiblen Daten heranzukommen.
Und warum lagen all die Daten einfach offen für jedermann mit einem AWS-Login herum? Alteryx hatte die Default-Privacy-Settings des S3-Buckets (eine von AWS so bezeichnete logische Speichereinheit, die aus Daten und Metadaten besteht) geändert auf "Permissions Public".
In diesem Falle, so Dan O'Sullivan von Upguard zu 'The Register', "braucht es einfach gesagt bloss ein Dummy-Login für einen kostenlosen AWS-Account mit einer neuen E-Mail-Adresse, um an die Daten des Buckets zu kommen."
Alteryx-CEO Dean Stoecker teilte inzwischen mit, man habe die Lücke geschlossen und die Security-Massnahmen verbessert. "Wir werden für alle Datensätze, die wir unseren Kunden anbieten, ein ähnliches Mass an erhöhter Sicherheit beibehalten."
Das Problem ist nicht S3
AWS selbst wirbt für S3 wie folgt: "S3 bietet umfassende Sicherheits- und Compliance-Funktionen, die selbst strengste regulatorische Anforderungen erfüllen. Es bietet Kunden Flexibilität bei der Verwaltung von Daten zur Kostenoptimierung, Zugriffskontrolle und Compliance."
Wer die Properties für ein S3-Bucket festlegt, der sieht, dass unter "Manage public permissions" die Default-Einstellung lautet "Do not grant public read access to this bucket (Recommended)". Man muss die Default-Einstellung also aktiv ändern wollen. Und viele Firmen ändern die Settings laut 'The Register' aus Bequemlichkeit, beispielsweise bei der Zusammenarbeit mit Partnern.
Das Problem war so offensichtlich, dass AWS eine leuchtend orange Warnung im S3-Dashboard anzeigt (s. Screenshot oben).
Ist das Handling von S3-Buckets einfach für viele Firmenverantwortliche zu simpel? Ja. Denn manuelle, interne Fehlkonfigurationen dieser Sorte sind häufig: Laut Gartner resultieren 70 bis 99 Prozent der Datenlecks daraus und nicht aus den Attacken superkluger Hacker.
Zwischenbilanz: Addiert man all die diesjährigen Leaks und Breaches in USA, inklusive diejenigen des Experian-Konkurrenten Equifax, so ist 2017 wohl schlicht jeder Konsument in den USA Opfer geworden, einige vermutlich mehrfach. (Marcel Gamma)

Loading

Mehr zum Thema

image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

Edöb: "Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen"

Der Eidgenössische Datenschützer kritisiert Anwaltskanzleien, die Behörden beim Einsatz von US-Cloud-Diensten Sicherheit versprechen. Im Interview schildert Adrian Lobsiger seine Sicht.

publiziert am 28.9.2022 3
image

Public Cloud: Der Bund hat Verträge mit Hyperscalern unterzeichnet

Da noch ein Gerichtsverfahren hängig ist, können die Ämter noch keine Cloud Services im Rahmen der 110 Millionen Franken schweren WTO-Beschaffung beziehen.

publiziert am 27.9.2022 1
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Ren Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2