'Veel gevoelige data op Amazon S3-opslagdienst is publiek toegankelijk'

Door met een script te raden naar bestandsnamen zou het eenvoudig zijn om potentieel gevoelige data op te vragen van Amazon Simple Storage Service. Veel gebruikers van Amazon S3 zouden namelijk vergeten om hun cloudopslag in te stellen als 'privé'.

De clouddienst Amazon S3 wordt door steeds meer bedrijven gebruikt voor het opslaan van statische data, zoals backups en weblogs. Deze bestanden, die in zogenaamde 'buckets' worden geplaatst, zijn via het web op te roepen door de juiste statische url te gebruiken. Beveiligingsonderzoeker Will Vandevanter wist met de Bing-api duizenden buckets te lokaliseren waarin gevoelige data was te vinden. Daarvoor gebruikte hij onder andere een lijst met bedrijfsnamen op basis van informatie van Fortune1000- en Alexa-informatie.

In totaal wist de onderzoeker 12.328 unieke buckets te vinden, waarvan er 1951 publiek toegankelijk waren. Daarin waren meer dan 126 miljard bestanden te vinden. Na het uitvoeren van een steekproef bleek daar veel potentieel gevoelige data tussen te zitten, zoals onversleutelde databasebackups, bestanden uit bedrijfsadministraties en broncode voor softwareprojecten.

Volgens de onderzoeker vergeten veel Amazon S3-gebruikers bepaalde mappen of bestanden het predicaat privé te geven, al zet Amazon deze flag standaard wel aan. Door deze configuratiefouten zijn bestanden onbedoeld vrij opvraagbaar. Bestanden of mappen die wel zijn beveiligd, geven een 'access denied'-foutmelding en blijven wel onzichtbaar. Amazon zou inmiddels zijn begonnen om zijn S3-gebruikers te waarschuwen over onbedoeld publiek toegankelijke data in S3-buckets.

Door Dimitri Reijerman

Redacteur

Feedback • 27-03-2013 19:1022

27-03-2013 • 19:10

22 Linkedin

Lees meer

Amazon verlaagt prijzen van dedicated instances met 80 procent Nieuws van 10 juli 2013
Google gaat tegen betaling data op harddisks naar cloud kopiëren Nieuws van 18 juni 2013
Amazon zet mes in S3-prijzen en komt met datawarehousingdienst Nieuws van 28 november 2012
Amazon rekent 1 dollarcent per GB voor nieuwe opslagdienst Glacier Nieuws van 21 augustus 2012
Amazon komt met hosted-zoekdienst Nieuws van 12 april 2012
Amazon meldt sterke groei van data op S3-cloudopslag Nieuws van 31 januari 2012
Amazon stelt clouddienst Cloudfront voor Nieuws van 19 november 2008
Amazon biedt eenvoudige online database aan Nieuws van 17 december 2007
Amazon brengt gridservice naar Europa Nieuws van 7 november 2007
Amazon begeeft zich op nieuwe markt met opslagdienst Nieuws van 15 maart 2006
Meer producten en artikelen
Netwerk en systeembeheer Amazon Cloud computing

Reacties (22)

-Moderatie-faq
22
20
18
2
0
0
Wijzig sortering
mrc4nl
27 maart 2013 19:31
opmerkelijk watt dit zou de gebruiker moeten weten
ik kreeg van amazon op 11 feb 2013 een mail dat mn bestanden in mn buckets te zien waren:
We’ve noticed that your Amazon S3 account has a bucket with permissions configured to allow anonymous requestors to perform READ operations. As a result, anonymous requestors can list objects in your bucket. The following Amazon S3 buckets grant anonymous access:
Amazon S3 Buckets:
xxxxxx
xxxxxxxx

[Reactie gewijzigd door mrc4nl op 27 maart 2013 19:32]

huntedjohan
@mrc4nl27 maart 2013 20:51
kan goed zijn dat het dus al een aantal maanden bekent is bij de onderzoeker, en hij dus netjes amazon op de hoogte heeft gebracht, en dat amazon een maand of 1,5 geleden is begonnen met het waarschuwen van hun gebruikers.
Knippr
@huntedjohan28 maart 2013 13:39
Neen, ik gebruik S3 al jaren en krijg al zeker 2 jaar deze mails.
Elmo_nl
27 maart 2013 20:16
Heel knullig dat als je data standaard privé/beveiligd is, en je dan als bedrijf iemand toegang/beheer verleend die de boel dan makkelijk verkeerd insteld (waarschijnlijk omdat het zo makkelijker werkt). Dan zou Amazon bedrijfsaccounts anders kunnen beveiligen door b.v. minstens 3 personen die van te voren contractueel zijn bevoegd toestemming te geven dit te wijzigen i.p.v. waarschijnlijk een te kiezen adres als info@whatever.com bestanden publiekelijk te laten maken. Zo vang je ook (net) ontslagen boze werknemers af. Dat een particulier account verkeerd wordt ingesteld door ome Henk en wij de privé foto's van zijn vakantie met Rita in Benidorm kunnen zien tja... Maar bedrijfsgevoelige data? Dat kan echt niet. Als je dan een userbase verliest "omdat het nu minder makkelijk werkt", ben je zeer waarschijnlijk in één keer ook de veroorzakers van deze slechte reclame kwijt...

[Reactie gewijzigd door Elmo_nl op 27 maart 2013 20:17]

Yggdrasil
@Elmo_nl28 maart 2013 10:59
Ik vind echt niet dat Amazon hier enige schuld treft.

S3 is een dienst voor gevorderde gebruikers. Niet voor eindgebruikers, zoals bij Dropbox, maar om als opslagdienst voor andere software/websites gebruikt te worden. Amazon biedt met 'Identity and Access Management' (IAM) voldoende gereedschappen om een rechtensysteem voor S3 op te zetten. Daarnaast heeft S3 genoeg mogelijkheden om tijdelijk bestanden te delen met bepaalde gebruikers.

Het is aan de gebruiker (het bedrijf) zelf om te bepalen welk gedrag men acceptabel vindt en zijn medewerkers toestaat. Als je bestanden publiek maakt met makkelijk te bedenken namen/URL's, dan moet je niet verbaasd zijn dat het publiek ze vindt. Dit is precies hetzelfde als de miljoenennota die al enkele malen is uitgelekt, doordat iemand eraan dacht het jaartal in de URL te veranderen. Naïef van degene die de bestanden beschikbaar maakte, meer niet.
ReLight
@Yggdrasil28 maart 2013 21:57
Als je het als dropbox 'gebruiken wilt kan je cloudclient gebruiken. (5Gb gratis)
Anoniem: 126717
27 maart 2013 19:25
Volgens de onderzoeker vergeten veel Amazon S3-gebruikers bepaalde mappen of bestanden het predicaat privé te geven, al zet Amazon deze flag standaard wel aan.

Dus mensen zetten die vlag moedwillig uit? Of lees ik iets verkeerd?
Batiatus
@Anoniem: 12671727 maart 2013 20:06
Goede vraag, aangezien de inleiding van Tweakers suggereert dat: "veel gebruikers van Amazon S3 zouden namelijk vergeten om hun cloudopslag in te stellen als 'privé".

http://aws.amazon.com/articles/5050

Het artikel van Amazon maakt het niet veel duidelijker voor mij. Het lijkt erop alsof Amazon public standaard uitgeschakeld heeft staan.

Edit: iemand die het kan verduidelijken?

[Reactie gewijzigd door Batiatus op 27 maart 2013 20:07]

Anoniem: 508620
@Batiatus28 maart 2013 08:31
Hierbij de link naar het onderzoek en details
https://community.rapid7....3/27/1951-open-s3-buckets
sgrinovero
@Batiatus28 maart 2013 01:30
Dat klopt: het is "vijlig bij default", mensen zetten het zelf uit.

Ik verwagt dat het om praktisce redenen is: anders moet er een heel gedoe met sleutles gedaan worden en speciale APIs gebuirken, maar als je het openbaar zet can je gewoon via HTTP downloaden.

Er zijn ook opties om prive links te maken (waar een one-time sleutel in the URL) maar dat is natuurlijk the ingewikkeld voor veel luie mensen.
ZaZ
@Anoniem: 12671728 maart 2013 09:29
Misschien is het niet duidelijk wat de 'prive' optie doet.
Kan mij ook zomaar voorstellen dat als je als bedrijf zijnde je settings naloopt dat een vinkje "prive" dan uitgezet wordt.
TDeK
27 maart 2013 19:26
Pijnlijk, zeker als je beseft dat veel foto en video diensten zoals TwitPic en TwitVid (eva) gebruik maken van S3. Zou erg vervelend zijn voor de gebruikers als die zaken publiek worden (of al blijken te zijn).
Iblies
@TDeK27 maart 2013 22:12
Vraag me af of dit ook niet geld voor Google en Microsoft.
Dropbox was ook niet helemaal veilig.

Niemand is perfect en deze keer is Amazon het haasje.
Yggdrasil
@Iblies28 maart 2013 10:40
Die zaken hebben toch niks met elkaar te maken?

Dropbox was onveilig doordat hun systeem gaten bevatte. Een fout van Dropbox dus.

In het geval van Amazon S3 is het de klant zélf die een bucket op public zet. De standaardinstelling in privé, dus de klant kiest ervoor om deze open te zetten en vergeet dat dan. Men realiseert zich blijkbaar niet dat iemand met simpel giswerk de URL kan gokken. Dit is dezelfde reden waarom de afgelopen jaren de miljoenennota uitlekte.

[Reactie gewijzigd door Yggdrasil op 28 maart 2013 10:59]

McRubz
27 maart 2013 19:28
Dus bestanden zijn standaard beveiligd, maar wanneer deze publiek gemaakt worden door de vlag 'privé' weg te halen zijn ze ... publiek toegankelijk.

Het probleem zit hem erin dat de bucket (map) lijst uitgelezen kan worden, zodat bestandsnamen zichtbaar zijn, ook van bestanden die an sich niet gedownload kunnen worden omdat bijvoorbeeld bestandsnamen ook gevoelige data kunnen bevatten.

Ook dit kan alleen als de gebruiker hier expliciet toestemming voor heeft gegeven, maar kan op het eerste gezicht onduidelijk zijn als je als gebruiker denkt de bestanden privé te hebben gezet.
Anoniem: 469544
27 maart 2013 19:14
Dit ligt dan aan de klant en niet aan S3...
Snap niet waarom hier zo'n ophef over ontstaat...
Blokker_1999
@Anoniem: 46954428 maart 2013 05:47
Amazon heeft hier toch ook een verantwoordelijkheid. Je kan je afvragen waarom de opslagdienst standaard niet alles als privaat behandeld. Bijkomend kan men zich afvragen of Amazon de gebruiker voldoende wijst op de gevaren en of de instelling eenvoudig genoeg te vinden is.
Eagle Creek
@Blokker_199928 maart 2013 07:43
Volgens de onderzoeker vergeten veel Amazon S3-gebruikers bepaalde mappen of bestanden het predicaat privé te geven, al zet Amazon deze flag standaard wel aan.
Doen ze dus wel :).
Knippr
@Blokker_199928 maart 2013 13:37
Het ligt echt aan de klanten zelf. Het staat standaard op prive en als je dat openzet krijg je zelfs waarschuwingsmails dat dat in sommige gevallen niet verstandig is.
darkfader
27 maart 2013 23:26
Ze dachten zeker dat hun data unbingable was.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee