Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 22, views: 15.947 •

Door met een script te raden naar bestandsnamen zou het eenvoudig zijn om potentieel gevoelige data op te vragen van Amazon Simple Storage Service. Veel gebruikers van Amazon S3 zouden namelijk vergeten om hun cloudopslag in te stellen als 'privé'.

De clouddienst Amazon S3 wordt door steeds meer bedrijven gebruikt voor het opslaan van statische data, zoals backups en weblogs. Deze bestanden, die in zogenaamde 'buckets' worden geplaatst, zijn via het web op te roepen door de juiste statische url te gebruiken. Beveiligingsonderzoeker Will Vandevanter wist met de Bing-api duizenden buckets te lokaliseren waarin gevoelige data was te vinden. Daarvoor gebruikte hij onder andere een lijst met bedrijfsnamen op basis van informatie van Fortune1000- en Alexa-informatie.

In totaal wist de onderzoeker 12.328 unieke buckets te vinden, waarvan er 1951 publiek toegankelijk waren. Daarin waren meer dan 126 miljard bestanden te vinden. Na het uitvoeren van een steekproef bleek daar veel potentieel gevoelige data tussen te zitten, zoals onversleutelde databasebackups, bestanden uit bedrijfsadministraties en broncode voor softwareprojecten.

Volgens de onderzoeker vergeten veel Amazon S3-gebruikers bepaalde mappen of bestanden het predicaat privé te geven, al zet Amazon deze flag standaard wel aan. Door deze configuratiefouten zijn bestanden onbedoeld vrij opvraagbaar. Bestanden of mappen die wel zijn beveiligd, geven een 'access denied'-foutmelding en blijven wel onzichtbaar. Amazon zou inmiddels zijn begonnen om zijn S3-gebruikers te waarschuwen over onbedoeld publiek toegankelijke data in S3-buckets.

Reacties (22)

Dit ligt dan aan de klant en niet aan S3...
Snap niet waarom hier zo'n ophef over ontstaat...
Amazon heeft hier toch ook een verantwoordelijkheid. Je kan je afvragen waarom de opslagdienst standaard niet alles als privaat behandeld. Bijkomend kan men zich afvragen of Amazon de gebruiker voldoende wijst op de gevaren en of de instelling eenvoudig genoeg te vinden is.
Volgens de onderzoeker vergeten veel Amazon S3-gebruikers bepaalde mappen of bestanden het predicaat privé te geven, al zet Amazon deze flag standaard wel aan.
Doen ze dus wel :).
Het ligt echt aan de klanten zelf. Het staat standaard op prive en als je dat openzet krijg je zelfs waarschuwingsmails dat dat in sommige gevallen niet verstandig is.
Volgens de onderzoeker vergeten veel Amazon S3-gebruikers bepaalde mappen of bestanden het predicaat privé te geven, al zet Amazon deze flag standaard wel aan.

Dus mensen zetten die vlag moedwillig uit? Of lees ik iets verkeerd?
Goede vraag, aangezien de inleiding van Tweakers suggereert dat: "veel gebruikers van Amazon S3 zouden namelijk vergeten om hun cloudopslag in te stellen als 'privé".

http://aws.amazon.com/articles/5050

Het artikel van Amazon maakt het niet veel duidelijker voor mij. Het lijkt erop alsof Amazon public standaard uitgeschakeld heeft staan.

Edit: iemand die het kan verduidelijken?

[Reactie gewijzigd door Batiatus op 27 maart 2013 20:07]

Dat klopt: het is "vijlig bij default", mensen zetten het zelf uit.

Ik verwagt dat het om praktisce redenen is: anders moet er een heel gedoe met sleutles gedaan worden en speciale APIs gebuirken, maar als je het openbaar zet can je gewoon via HTTP downloaden.

Er zijn ook opties om prive links te maken (waar een one-time sleutel in the URL) maar dat is natuurlijk the ingewikkeld voor veel luie mensen.
Misschien is het niet duidelijk wat de 'prive' optie doet.
Kan mij ook zomaar voorstellen dat als je als bedrijf zijnde je settings naloopt dat een vinkje "prive" dan uitgezet wordt.
Pijnlijk, zeker als je beseft dat veel foto en video diensten zoals TwitPic en TwitVid (eva) gebruik maken van S3. Zou erg vervelend zijn voor de gebruikers als die zaken publiek worden (of al blijken te zijn).
Vraag me af of dit ook niet geld voor Google en Microsoft.
Dropbox was ook niet helemaal veilig.

Niemand is perfect en deze keer is Amazon het haasje.
Die zaken hebben toch niks met elkaar te maken?

Dropbox was onveilig doordat hun systeem gaten bevatte. Een fout van Dropbox dus.

In het geval van Amazon S3 is het de klant zélf die een bucket op public zet. De standaardinstelling in privé, dus de klant kiest ervoor om deze open te zetten en vergeet dat dan. Men realiseert zich blijkbaar niet dat iemand met simpel giswerk de URL kan gokken. Dit is dezelfde reden waarom de afgelopen jaren de miljoenennota uitlekte.

[Reactie gewijzigd door Yggdrasil op 28 maart 2013 10:59]

Dus bestanden zijn standaard beveiligd, maar wanneer deze publiek gemaakt worden door de vlag 'privé' weg te halen zijn ze ... publiek toegankelijk.

Het probleem zit hem erin dat de bucket (map) lijst uitgelezen kan worden, zodat bestandsnamen zichtbaar zijn, ook van bestanden die an sich niet gedownload kunnen worden omdat bijvoorbeeld bestandsnamen ook gevoelige data kunnen bevatten.

Ook dit kan alleen als de gebruiker hier expliciet toestemming voor heeft gegeven, maar kan op het eerste gezicht onduidelijk zijn als je als gebruiker denkt de bestanden privé te hebben gezet.
opmerkelijk watt dit zou de gebruiker moeten weten
ik kreeg van amazon op 11 feb 2013 een mail dat mn bestanden in mn buckets te zien waren:
We’ve noticed that your Amazon S3 account has a bucket with permissions configured to allow anonymous requestors to perform READ operations. As a result, anonymous requestors can list objects in your bucket. The following Amazon S3 buckets grant anonymous access:
Amazon S3 Buckets:
xxxxxx
xxxxxxxx

[Reactie gewijzigd door mrc4nl op 27 maart 2013 19:32]

kan goed zijn dat het dus al een aantal maanden bekent is bij de onderzoeker, en hij dus netjes amazon op de hoogte heeft gebracht, en dat amazon een maand of 1,5 geleden is begonnen met het waarschuwen van hun gebruikers.
Neen, ik gebruik S3 al jaren en krijg al zeker 2 jaar deze mails.
Heel knullig dat als je data standaard privé/beveiligd is, en je dan als bedrijf iemand toegang/beheer verleend die de boel dan makkelijk verkeerd insteld (waarschijnlijk omdat het zo makkelijker werkt). Dan zou Amazon bedrijfsaccounts anders kunnen beveiligen door b.v. minstens 3 personen die van te voren contractueel zijn bevoegd toestemming te geven dit te wijzigen i.p.v. waarschijnlijk een te kiezen adres als info@whatever.com bestanden publiekelijk te laten maken. Zo vang je ook (net) ontslagen boze werknemers af. Dat een particulier account verkeerd wordt ingesteld door ome Henk en wij de privé foto's van zijn vakantie met Rita in Benidorm kunnen zien tja... Maar bedrijfsgevoelige data? Dat kan echt niet. Als je dan een userbase verliest "omdat het nu minder makkelijk werkt", ben je zeer waarschijnlijk in één keer ook de veroorzakers van deze slechte reclame kwijt...

[Reactie gewijzigd door Elmo_nl op 27 maart 2013 20:17]

Ik vind echt niet dat Amazon hier enige schuld treft.

S3 is een dienst voor gevorderde gebruikers. Niet voor eindgebruikers, zoals bij Dropbox, maar om als opslagdienst voor andere software/websites gebruikt te worden. Amazon biedt met 'Identity and Access Management' (IAM) voldoende gereedschappen om een rechtensysteem voor S3 op te zetten. Daarnaast heeft S3 genoeg mogelijkheden om tijdelijk bestanden te delen met bepaalde gebruikers.

Het is aan de gebruiker (het bedrijf) zelf om te bepalen welk gedrag men acceptabel vindt en zijn medewerkers toestaat. Als je bestanden publiek maakt met makkelijk te bedenken namen/URL's, dan moet je niet verbaasd zijn dat het publiek ze vindt. Dit is precies hetzelfde als de miljoenennota die al enkele malen is uitgelekt, doordat iemand eraan dacht het jaartal in de URL te veranderen. Naďef van degene die de bestanden beschikbaar maakte, meer niet.
Als je het als dropbox 'gebruiken wilt kan je cloudclient gebruiken. (5Gb gratis)
Ze dachten zeker dat hun data unbingable was.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Websites en communities Smartphones Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013