Amazon Web Services: Vertrauliche Daten über GoDaddy frei verfügbar
Auf einem falsch konfigurierten und öffentlich zugänglichen S3-Cloud-Speicher waren Informationen zu Preisverhandlungen und Beschreibungen zu mehr als 24.000 Amazon-Web-Services-Systemen (AWS-Systeme) des Domain-Services GoDaddy abrufbar. Die Verantwortung hat Amazon übernommen.
Träge Reaktion
Auf die Schwachstelle wurde das Unternehmen vom Sicherheitsanbieter UpGuard bereits am 19. Juni aufmerksam gemacht. In den frei zugänglichen Dateien fanden sich Dokumente zur von GoDaddy verwendeten Infrastruktur sowie Informationen zur Konfiguration, welche zu den 24.000 betriebenen Systemen gehörten – darunter Hostnamen, Betriebssysteme, Prozessoren, Arbeitsspeicher sowie Arbeitslasten und AWS-Regionen. Laut den Sicherheitsexperten fanden sich in den gefundenen Daten aber auch Details zu Preisverhandlungen und Rabatten. GoDaddy reagierte erst am 26. Juli, also rund fünf Wochen später, und schloss die Sicherheitslücke.
Amazon sieht sich in der Schuld
Amazon übernahm zwischenzeitlich die Verantwortung für den Zugriff: Laut dem Cloud-Anbieter zeichnete sich ein AWS-Verkäufer für die fehlerhafte Konfiguration verantwortlich. Dieser soll den entsprechenden Speicher erstellt haben, um AWS-Preisszenarien während der Arbeit mit einem Kunden verarbeiten zu können. Dabei habe er sich nicht an die Vorgaben des AWS gehalten, denn normalerweise seien alle Zugriffe auf den entsprechenden Bereich für alle Nutzer außer dem Kontoinhaber und den Root-Administrator in der Standardkonfiguration gesperrt. Amazon betonte zudem, dass keinerlei Informationen von GoDaddy-Kunden kompromittiert wurden.
Rein spekulative Inhalte
Auch GoDaddy hat sich mittlerweile zu Wort gemeldet und gab an, dass es sich bei den zugänglichen Preisverhandlungen lediglich um spekulative Szenarien handeln würde. Ein reeller Bezug zum Geschäftsverhältnis zwischen Amazon und dem Domain-Service könnte daraus nicht abgeleitet werden.
Jeder Cloud-Nutzer setzt sich einem Risiko aus
UpGuard machte indes noch einmal deutlich, dass jedes Unternehmen, das Cloud-Dienste einsetzt, sich unabhängig der Größe ständig dem Risiko eines ungewollten Zugriffes aussetzt. Dies sei besonders dann der Fall, wenn das fachliche Wissen der Verantwortlichen nicht ausreichen würde, solche Schwachstellen zu erkennen und diese auch zu beheben.
GoDaddy ist mit 18 Millionen Kunden und 77 Millionen verwalteten Domains der weltgrößte Domain-Registrar und Webhoster sowie der weltweit drittgrößte Anbieter von SSL-Zertifikaten.