Amazon-S3-Benutzer geben unfreiwillig Daten frei
Cloud-Speicher erfreuen sich nicht nur bei Privatnutzern großer Beliebtheit, auch in der Gunst der Unternehmen steigen sie stetig. Leider kümmern sich zu wenige Benutzer um die Sicherheit ihrer gesicherten Daten. Was daraus entstehen kann, haben Sicherheitsexperten von Rapid7 nun am Beispiel von Amazons Cloud-Dienst S3 gezeigt.
Amazon stellt mit seinem eigenen Cloud-Dienst S3 eine immer beliebter werdende Methode zur Speicherung von großen Datenmengen zur Verfügung, welcher mittlerweile immer mehr von besonders kleineren Firmen genutzt wird, welche keine großen Kosten in eine eigene Infrastruktur investieren können oder möchten. Der Knackpunkt dabei: Sowohl Firmen als auch private Nutzer lagern Daten in dem Dienst aus, welche oftmals nicht für fremde Augen gedacht sind. Bei S3 ist es durch eine falsche Konfiguration aber möglich, dass auch unautorisierte Nutzer Einblick in diese Daten nehmen können.
Der Sicherheitsexperte Wil Vandevanter hat nun 12.000 dieser sogenannten „Buckets“, eine Art Ordner, dessen Name durch keinen anderen Amazon-Kunden in Verwendung sein darf, da ihm eine eindeutige URL zugeordnet wird, untersucht. Seinen Aussagen zur Folge fanden sich dabei über 2.000 nicht geschützte Verzeichnisse, in welchen sich insgesamt über 126 Milliarden Dateien befanden, die wiederum frei zugänglich waren. Die restlichen Ordner waren mit einem Zugriffsschutz versehen.
Bei diesen Dateien handelte es sich nicht nur um private Bilder, es fanden sich auch Personalakten, Verkaufsstatistiken, Zugangsdaten für diverse Dienste und Bankkonten, Geschäftsberichte und noch einige Daten mehr.
Das automatisierte Erkennen der nötigen S3-URLs war für die Experten zudem kein großer Aufwand. Hierzu wurde eine Kombination aus Wörterbuchattacken bei denen die 1.000 größten Unternehmen der Zeitschrift „Fortune“ zum Einsatz kamen. Zudem fügte er, vom Analytic-Dienst „Alexa“ ausgehend, die Namen der 100.000 größten Webseiten hinzu. Das dieser Dienst auch Amazon gehört sei nur am Rande erwähnt. Anschließend überprüfte er über die Bing Search API, ob diese Verzeichnisse vorhanden und frei zugänglich waren.
Vandevanter rät jedem S3-Nutzer, sich gründlich mit den Sicherheitseinstellungen des Dienstes auseinanderzusetzen und zu prüfen, ob die eigenen Daten nicht auch frei für jedermann zugänglich sind. Diese Warnung ist besonders in der Hinsicht ernst zu nehmen, da in den Standard-Einstellungen nur der Benutzer selbst Zugriff auf seine Daten besitzt, somit kann hier Amazon kein Vorwurf gemacht werden. Der Anbieter hat in der Zwischenzeit aber ebenfalls auf die Untersuchung reagiert und warnt gefährdete Nutzer des Dienstes davor, dass ihre Daten frei im Netz erreichbar sind, und gibt Tipps für die richtigen Einstellungen.