Gevoelige gegevens in Amazon S3-buckets

Bedrijven die Amazon S3 (Simple Storage System) gebruiken voor back-ups of om documenten op te slaan, blijken niet altijd even veel aandacht te besteden aan de beveiliging ervan, zo bleek uit onderzoek van Rapid7. In S3 is de opslag onderverdeeld in zogenoemde buckets, die elk een unieke URL hebben, zoals http://bucketname.s3.amazonaws.com. Een bucket kan public of private zijn. Een public bucket kan door iedereen worden bekeken; vul je de URL in je webbrowser in, dan krijg je een XML-bestand te zien met de lijst van beschikbare bestanden en directory’s in de bucket. Bij een private bucket kan alleen iemand met de juiste permissies die informatie opvragen; anderen krijgen de melding Access Denied. De naam van een bucket is echter meestal niet willekeurig, en daarvan maakten de onderzoekers van Rapid7 gebruik. Ze probeerden allerlei bucketnamen uit en keken of er op de bijbehorende URL iets was te zien. Ze vonden op die manier 12.328 buckets, waarvan 1951 ofwel bijna een zesde publiek. Vaak is een bucket met een reden publiek gemaakt, omdat de bestanden bijvoorbeeld voor een publieke website worden gebruikt. Rapid7 bekeek echter ook een sample van veertigduizend van de 126 miljard bestanden uit de gevonden publieke buckets. Wat vonden ze zoal? Verkoopcijfers van een autohandelaar, persoonlijke informatie uit een werknemersdatabase, PHP-broncode met gebruikersnamen en wachtwoorden, evenals heel wat tekstdocumenten die waren aangeduid als Confidential of Private…

https://community.rapid7.com/community/infosec/ blog/2013/03/27/1951-open-s3-buckets