Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers vinden onbeveiligde AWS-server met 600GB aan data van bedrijven

Door , 62 reacties

Onderzoekers van het bedrijf Kromtech Security Center hebben een onbeveiligde AWS-server ontdekt met daarop 600GB aan data van verschillende bedrijven. De meeste gegevens zouden afkomstig zijn van de Amerikaanse kabelaar Time Warner Cable, die in 2016 is overgenomen.

Het bedrijf schrijft dat de databases in totaal 4 miljoen records bevatten. Bij de gegevens gaat het onder meer om gebruikersnamen, mac-adressen, serienummers, accountnummers, adressen en telefoonnummers. Daaronder zouden de gegevens van 'honderdduizenden' TWC-klanten zijn. Omdat het om een grote hoeveelheid gegevens gaat, zeggen de onderzoekers dat het waarschijnlijk weken gaat duren om alles in kaart te brengen.

De gegevens behoren toe aan het Amerikaanse bedrijf BroadSoft, dat onder meer communicatiesoftware levert. De gegevens bevatten dan ook niet alleen interne ontwikkelgegevens van TWC, maar ook van bedrijven als AMC en Bright House Networks, aldus Kromtech. Nadat het beveiligingsbedrijf BroadSoft op de hoogte had gesteld, ontkende een contactpersoon dat de gegevens van het bedrijf afkomstig waren.

Inmiddels heeft BroadSoft aan Gizmodo laten weten dat het inderdaad om data van zijn klanten gaat, maar dat de gegevens 'niet zeer gevoelig zijn'. Het bedrijf dat TWC in 2016 overnam, Charter Communications, zegt tegen de site dat klanten die de zogenaamde MyTWC-app hebben gebruikt mogelijk door het lek zijn getroffen. Het zou voor die klanten dan ook aan te raden zijn om hun wachtwoord en gebruikersnaam aan te passen.

Kromtech gaat ervan uit dat de gegevens door een configuratiefout te benaderen waren voor 'iedereen met een internetverbinding'. Het bedrijf vond de gegevens toen het op zoek was naar servers met het woord 'test' erin. Kort daarvoor had het namelijk een onbeveiligde testserver van World Wrestling Entertainment gevonden. De onderzoekers vermoeden dan ook dat er nog veel meer van dit soort onbeveiligde AWS-buckets te vinden zijn. Het is niet de eerste keer dat gegevens op deze manier uitlekken, dat gebeurde bijvoorbeeld ook met de gegevens van 198 miljoen Amerikaanse kiezers.

Sander van Voorst

Nieuwsredacteur

1 september 2017 21:08

62 reacties

Linkedin Google+

Reacties (62)

Wijzig sortering
Dit artikel heeft en een foute titel en gaat echt nergens over..

Ga een uurtje speuren naar open SMB servertjes in Nederland en ik kan je garanderen dat je meer en gevoeligere meuk tegen komt. Iedere toko maakt fouten, allemaal; en met een beetje slim speuren heb je die zo bovenwater; zeker als je naar willekeurige intel gaat zoeken zoals dit.

Dan heb je vervolgens de keuze om de toko te waarschuwen en zo weer je steentje bij te dragen aan een betere wereld; je kunt er natuurlijk ook voor kiezen de publiciteit te zoeken en te trachten zo veel mogelijk sensatie op te roepen...

Daarbij valt dit naar mijn weten gewoon onder computervredebreuk valt volgens het Nederlands recht..

[Reactie gewijzigd door Pruttelpot op 1 september 2017 23:03]

Ik denk dat het aanzienlijk is 600gb aan klantgegevens wat vrij te downloaden is. Ik denk echt niet dat je zo snel een even belangrijke data dump vind op een hollandse SMB server.
De gemiddelde openstaande SMB server heeft heel wat meer dan 600gb aan boord en ik kan je garanderen dat je binnen een paar uur meerdere systemen van Nederlandse bedrijven hebt gevonden.

Vergeet niet dat it beveiliging nog altijd een ondergeschoven kindje is, het is een last en geen lust; waarbij het gros van de beheerders er ook echt geen jota van snapt...
Nou, ga je ding doen en beschaam dan met een tweakers artikel op jouw naam een belachelijk groot aantal bedrijven. Ik zie het nooit. Het is altijd US nieuws van grote bedrijven.

Ik ben het niet oneens met je dat heel eee eeee heeel veel bedrijven geen idee hebben wat ze doen, ze verhuizen, overgenomen, ict wordt ontslagen etc. Het is een zooitje. Maar ik zie echt geen misbruik en publieke dumps voorbij komen van NL bedrijven met SMB server content hoor. Gebeurd te weinig. Wel van de overheid natuurlijk .. die dumps zien we maandelijks een update krijgen.
Ik denk dat dat voornamelijk vanwege het feit is dat het in Nederland strafbaar is. Jezelf digitaal begeven op een plek waarvan je weet dat je er niet mag zijn, is hier in Nederland simpelweg niet toegestaan, zelfs al doorbreek je daar geen enkele beveiliging voor.

Als ik vandaag een screenshot publiceer van een openstaande SMB server van laten we zeggen, een groot advocaten kantoor; dat heb ik vermoedelijk morgen de politie op de stoep staan.

Ik denk dat het gros van de sec-onderzoekers die ik ken er voor kiezen om dan maar contact te leggen met het bedrijf in kwestie ipv een berichtje naar Tweakers te sturen.
Het sowieso bij het bedrijf melden staat voor zich.
Het zal je verbazen wat je allemaal tegen komt... er is echt way te veel niet in orde omdat veel bedrijven te veel bezuinigen op fatsoenlijk beheer van hun infra.
Elk kwartaal controleren wij alle bij ons aangesloten klanten op vergelijkbare veiligheidslekken. Gemiddeld maken we dan zo'n 1.500.000 adressen buit. De dader ligt natuurlijk altijd op het kerkhof en er is altijd wel een klant die zich zo onbeschoft en onfatsoenlijk gedraagt dat hem of haar een blijvende verbanning te wachten staat .
Het artikel is niet heel erg duidelijk geschreven. Bij mij blijft vraag open, wie zijn schuld is dit? Ligt het bij Amazon, of hebben bedrijven een server ingekocht bij Amazon en deze slecht beveiligd?
Ik vind het inderdaad heel slecht opgesteld. Het lijkt alsof de server onder "verantwoordelijkheid" valt van Amazon door de manier van opstellen in de titel. Amazon maakt hier echt geen enkele fout en het gaat hier om een AWS (een van de vele diensten van Amazon) gehuurde server, die door derden beheerd wordt.

Men had minstens iets genuanceerder en correcter in hun informatie kunnen zijn, bijvoorbeeld: "Onderzoekers vinden onbeveiligde server gehost bij Amazon Web Services (AWS) met 600GB aan data van bedrijven" had.

Pas verder onderaan het artikel wordt het verduidelijkt, maar enkel voor partijen die zelfstandig verder kunnen nadenken/redeneren.

[Reactie gewijzigd door xp65 op 1 september 2017 21:29]

Sterker nog, het doet er helemaal niet aan toe waar hij gehost wordt. 600GB aan klantgegevens. Dat is het punt.

De betrokken partijen als de server beheerder, verantwoordelijke bedrijven, en slachtoffers.

Of is het ook belangrijk dat het verkeer via de AMS-IX verliep?
They used Amazon's cloud but misconfigured it by leaving it accessible. Amazon AWS buckets are protected by default but somehow were left publically available. It is most likely that they were forgotten by engineers and never closed the public configuration.
Is dit niet iets specifieks voor Amazon AWS?
Nee, dit is echt niet iets specifieks voor Amazon AWS, het gaat om de engineers die de server afnemen bij Amazon AWS en het niet goed hebben ingesteld. DIt kan je net zo goed verprutsen bij MS Azure of elke andere leverancier die servers levert die via het Internet bereikbaar zijn...
Wat Cergorach zegt. Amazon hanteert een zogenaam "shared responsibility" model. Zij zorgen voor de beveiliging van de fysieke servers in de datacenters. Jij als klant hebt ervoor te zorgen dat je de tools (ACL,Security Groups, routing, policies, roles, ...) goed configureert om je omgeving te beveiligen, Net zoals je dat met on-prem zou doen.
600GB aan klantgegevens. Dat is het punt.
Ja staat nergens. Gaat om 600GB data waaronder klant gegevens.
Ja of "Onderzoekers vinden onbeveiligde server gehost op een Dell EMC server met 600GB aan data van bedrijven". Net zo relevant ... Not
Ik las de titel en had helemaal niet het idee dat het een server van Amazon als bedrijf was, ik dacht meteen aan AWS en dus van iemand die het huurt van Amazon. 'tis gewoon een referentie. Jammer dat de top comments in dit artikel commentaar op de titel is, en niet ontopic is.
Staat in het bronartikel dat het mis-configured was, dus niet Amazon's schuld maar het bedrijf.
@ redactie: Wat Gatekeeper hier zegt zit wel wat in.

[Reactie gewijzigd door Soldaatje op 1 september 2017 22:30]

De bedrijven die het hebben gehuurd hebben het verkeerd geconfigureerd en niet beveiligd.
Amazon de schuld geven ligt meer in de lijn met zelf een server opzetten en dan de fabrikanten van de hardwarecomponenten van die server aanklagen omdat de software die erop draaide een lek bevatte.

Tuurllijk biedt aws extra software pakketjes voor je virtuele hardware ( even plat gezegd ), maar dan is het natuurlijk een gevalletje handleiding lezen. Terug naar de analogie van een eigen server: Stel jij zet er ftp server software op je eigen server en die leeggetrokken omdat jij ( bewust of onbewust ) geen wachtwoord erop had gezet, kun je moeilijk de maker van de ftp software de schuld geven.
600 GB Voor 4 miljoen records? Is dat niet iets meer dan een handvol gegevens per record?
Gemiddeld 150KB per record. Dat kunnen dus, afgerond, 150.000 leestekens zijn.

Ik denk, dat als je enigszins je eigen administratie op orde hebt en de belangrijkste gegevens zoals al je bankrekeningen, hypotheken, alle contracten (werk, prive) passwords, toegangscodes, al je telefoonnummers, contactpersonen, adressen etc. in Notepad++ zet, dat je niet aan 150KB gaat komen.

Het ligt er dus maar net aan wat er per record is opgeslagen.
Een record kan van alles zijn. Het hoeft niet in de implementatie betekenis van een relationele database te zijn.
Een complete dvd als binary kan een veld van type blob zijn (max 2gb) .

Xml in een dbms wordt niet in plain text opgeslagen maar in een parsed intern formaat. Als je de verhouding van de omvang een bekeken hebt valt dat op.
Xml valt gewoonlijk in de klasse van Lob objecten bij een rdbms. Nosql databases doen dat wat anders.
Dat is "slechts" 150kb. Eigenlijk niet zoveel, een deftig XML zou ik zeggen.
Maar het gaat hier wel om databases volgens het artikel. XML heeft natuurlijk ook een heleboel "verspilde" data aan markup alleen al.
Misschien is het wel JSON? Dan kan je al wat meer data kwijt, aangezien XML door alle tags aardig wat meer data opslokt voor minder gegevens.
Ligt eraan wat je onder een handvol gegevens verstaat heb het even uitgerekend, 600gb in Kb is ongeveer 600000000 Kb gedeelt door 4000000 is dus 150Kb +- per record. Ter vergelijking heb ik even gekeken wat een average user tabel record van mij heeft als groote

SELECT
TABLE_NAME AS `Table`,
ROUND((DATA_LENGTH + INDEX_LENGTH) / 1024) AS `kb`
FROM
information_schema.TABLES
WHERE
TABLE_SCHEMA = "xxxxx"
AND
TABLE_NAME = 'users'

hier komt 80 kb uit en dat is voor de hele tabel die bestaat uit 31 records dus 80 / 31 = 2.5Kb per record in een users tabel deze tabel heeft 15 kolomen en 5 indexes.
Platte tekst is over het algemeen best goed te comprimeren, dus wellicht dat er iets van compressie toegepast wordt?
Is toch zo een 150MByte aan data per record, noem het niet echt een handje vol per record.
Je zit er een factor 1000 naast. Maar 150 KB is nog steeds best een boel tekst.
Klopt, inderdaad zie het nu :)
Voorspelbare reactie ook van broadsoft: eerst kop in het zand en ontkennen, daarna downplayen. (Schijnt vaker zo te gaan)
Zo raar vind ik het niet. Broadsoft zelf heeft er niets mee te maken. TWC heeft hier een of meerdere Broadsoft server(s) onbeschermd op staan. Broadsoft zelf host ook op AWC maar dan wel met hun Broadworks cloud omgeving. Ik denk niet dat dat zomaar openstaat. Ik zelf beheer een Broadsoft omgeving en ik wordt toch echt geacht zelf verantwoordelijk te zijn voor de beveiliging van die omgeving.

Tevens wordt van onze partners die gebruik maken van die omgeving ook geacht wijs met beveiliging om te gaan. Iets wat bij TWC niet goed gebeurd lijkt te zijn.

Daarom is zowel de titel als de inhoud van het stuk misleidend of op zijn minst ongelukkig gekozen te noemen.
De onderzoekers vermoeden dan ook dat er nog veel meer van dit soort onbeveiligde AWS-buckets te vinden zijn.

Dat doet vermoeden dat het hier om Amazon's S3 object storage gaat. Object storage wordt in veel publieke cloud architecturen gebruikt als een goedkope storage laag wat flexibel en goedkoop. Het wordt gebruikt voor systeem / database snapshots, content delivery enz. Als je daar niet goed over nadenkt of beveiligd, kan het zo zijn dat je S3 buckets zonder toegangsrechten buiten je cloud architectuur benaderbaar zijn.
Dat betekend dus ook dat het niet om een "eigen server" gaat bij Amazon maar opgeslagen data op de S3 storage infrastructuur van Amazon die toegankelijk is gemaakt door een fout in de architectuur van een klant die een deel van zijn infrastructuur draaide bij Amazon.

[Reactie gewijzigd door toet-toet op 2 september 2017 02:17]

Dat was even schikken
Onderzoekers vinden onbeveiligde Amazon-server met 600GB aan data van bedrijven
Gelukkig staat er een stukje verder in de tekst, dat het eigelijk om het bedrijf BroadSoft gaat, wat blijkbaar een server gehuurt heeft bij amazon. En dus niet van amazon zelf.

@Redactie Mogen de titels aub iets meer over de content gaan?

Admin-edit:Spelfouten en/of ander commentaar m.b.t. nieuwsposts horen thuis in
Geachte Redactie.

[Reactie gewijzigd door Bor op 2 september 2017 11:45]

Volgens mij is dit hartstikke duidelijk voor iedereen die weet dat Amazon servers verhuurt... Waarvan ik zou denken dat dat bijna alle tweakers zijn. Maar goed, gezien je +3 blijkbaar bij velen toch niet.
Maar hoe wil je dan dat ze het beschrijven? Er staat toch ook al dat het gaat om data van bedrijven, wat dacht je precies dat het zou betekenen dan, anders dan wat het werkelijk is?
Het is ook wel vreselijk in tegenwoordig om altijd maar over de kop te klagen hoor...
Gewoon als kop, bv.:
Onderzoekers vinden onbeveiligde BroadSoft omgeving met 600GB aan Time Warner Cable klantgegevens
Dat het toevallig op een Amazon-server staat doet er helemaal niet toe, Amazon heeft met deze betreffende beveiliging en dus met het lekken van de data helemaal niets te maken. Ik vindt de kop zoals hij nu is dan ook zeer misleidend. Eventueel kan je Amazon noemen in de rest van het artikel, maar zeker niet in de kop zoals het nu gedaan is.

[Reactie gewijzigd door friend op 2 september 2017 01:28]

Helemaal met je eens!!

Ik schrok ook even. Maar het blijkt dus om Broadsoft servers te gaan die TWC wss gebruikte om telefonie te leveren aan eindklanten. En niet Broadsoft zelf. Dat laatste zou een heel kwalijke zaak zijn aangezien je van Broadsoft toch echt mag verwachten dat ze wat zorgvuldiger met hun eigen platform omgaan.
Ja de huidige titel zou Amazon nog als smaad kunne betitelen, typische clickbait, verwacht van Tweakers toch wat beters...
Nee hoor. Ik las het als een fysieke server van Amazon met de content van hun klanten die onbeveiligd was en toegankelijk was voor iedereen.

Blijkt dat een van de leden van het Cloud Ops team van BroadSoft zijn s3 ACL heeft opengezet ofzo...
Hmm, nee hoor de titel was erg misleidend
De kop is heel erg van belang voor te bepalen dat een gebruiker zal klikken of niet.
Het probleem is als je je gebruikers veel misleid dan gaan de gebruikers argwanig worden tegenover de site, de kwaliteit lijkt achteruit te gaan.

Ken je het verhaal van de schapen-herder die zich verveelde in de bergen en dan de dorpelingen drie keer riep dat er een wolf was (gewoon voor wat animo te hebben)?
Wel de 4de keer toen de wolf er ECHT was, kwamen de dorpelingen niet meer omdat ze dachten dat het weer een valse hulproep was.
Hetzelfde zal gebeuren met deze site, mensen zullen ongevoelg worden voor koppen omdat ze enkel nog denken dat deze site wanhopig op sensatie titels werkt voor wanhopig nog wat gebruikers te laten klikken op een artikel .

Zulke gebruikers gaan tweakers website opgeven en naar een andere site overstappen die wel met correcte nieuws titels afkomen (mensen verwachten dat nieuws serieus en correct is).

Bovendien lijkt de artikel te insinueren dat Amazon in de fout is gegaan, tweakers.net kan nog schadeclaims verwachten als amazon zich aangevallen voelt door valse nieuws dat hun reputatie beschadigd

Admin-edit:Spelfouten en/of ander commentaar m.b.t. nieuwsposts horen thuis in
Geachte Redactie.

[Reactie gewijzigd door Bor op 2 september 2017 11:44]

Mijn eerste gedachte was dat het over aws ging. Dus ja, de titel is suggestief.
Nee het is niet duidelijk, bij deze titel denk jemeteen aan een server van Amazon, bijv van hun verkoop site, ik denk dan niet aan een cloud instantie die verhuurt is door Amazon. In dit geval is het de gebruiker die een Amazon cloud server slecht heeft geconfigureerd. Amazon treft dus geen blaam!
Dat is eigenlijk altijd zo bij een public cloud provider. Als je daar de zaken niet goed beveiligd dan heb je misschien exposure op het internet maar dan treft de cloud provider geen blaam? Beetje een "telegraaf" titel.
Ik had aan de titel toch direct aan AWS gedacht, we gebruiken wel hun services.
Maar misschien is het beter om Amazon door AWS te vervangen.
Tegenwoordig zijn het allemaal news feeds die gelinked zijn aan elkaar.
Er hoeft ergens maar 1 artikel te staan en het spreidt zich als een inktvlek uit.
Dit artikel kom ik elders ook tegen met dezelfde titel.
Mijn eerste gedachte was meteen: clickbait title, waarschijnlijk een server gehuurd bij Amazon met een of ander custom os/software draaiend...

En tadaa, het internet is voorspelbaar geworden!
Nu moet ik daarbij wel direct zeggen dat ik elke scheet van Brein of Dutch Fil Works wel belangrijk vindt.
Mijn eerste indrukking was dat dit door amazon kwam, the clickbate caught me again!

even ontopic, dit is natuurlijk niet leuk voor de klanten en hun informatie!


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*