Pliki w chmurze – Reditus Necronomicon

nfsec.pl 8 miesięcy temu

K

ontynuując naszą serię Necronomicon zajmiemy się dzisiaj publicznymi wiaderkami danych, które są umieszczone w chmurze. Bardzo wiele firm i prywatnych osób przez cały czas przeprowadza adopcję chmury publicznej, której flagową usługą jest możliwość taniego przechowywania plików różnej maści. Mimo wielu badań, opracowań i raportów niewielu z tych adeptów zdaje sobie sprawę, iż gdy tylko zdecydują się na ustawienie (świadomie lub nie) publicznego dostępu do dowolnego wiaderka (ang. bucket) istnieje duże prawdopodobieństwo, iż ich nazwy zostaną odgadnięte, a dane zindeksowane oraz wystawione innym użytkownikom do łatwego przeszukiwania i pobierania. 24 września 2023 roku wyszukiwarka GrayHatWarfare przyznała, iż jej baza danych zawiera 416.712 różnych wiaderek danych, 316.00 z S3, 6800.000 z DigitalOcean, 44000 z Google oraz 49.900 otwartych kontenerów z Azure, co daje łącznie 10,4 miliarda publicznie dostępnych plików. Patrząc z perspektywy bezpieczeństwa te wszystkie publiczne magazyny danych zawierają wiele szalonych rzeczy: pliki PST (które można zaimportować do programu Outlook, jako kompletne skrzynki e-mail); paszporty (których zapisywanie jest nielegalne w kilku krajach); certyfikaty urodzin; numery ubezpieczenia społecznego z USA; recepty oraz dane medyczne; rachunki i dane klientów; polisy ubezpieczeniowe; klucze licencyjne; dane dostępowe; klucze dostępowe; tokeny; certyfikaty TLS; pliki konfiguracyjne do narzędzi: WinSCP, FileZilla, Sublime, Menedżery haseł, VPN, Gitlab; Pliki konfiguracyjne PHP

… kopie zapasowe: obrazy z programów Veeam oraz Acronis; obrazy do przeprowadzania informatyki śledczej; pliki archiwum; kopie SQL; pliki BSON i inne skrypty. Jak widać ciągły proces wdrażania chmury powoduje powszechne rozprzestrzenianie się danych, co stwarza ryzyko prowadzące do naruszeń bezpieczeństwa. Bardzo wiele organizacji zapisuje i udostępnia publicznie swoje dane i dane osobowe swoich klientów stwarzając duże zagrożenie dla prywatności. Dodatkowo duże firmy udostępniają wrażliwe dane swoim podwykonawcom, którzy stają się autorem publicznie otwartych zasobów. Często problemy przepływu danych między różnymi geolokalizacjami, podmiotami i projektami rozwiązywany jest przyznaniem zbyt szerokich uprawnień. Wszystkie te błędy są automatycznie wychwytywane przez roboty skanujące bez przerwy internet i udostępniane za darmo lub drobną opłatą.

Więcej informacji: Cloud storage – never fails to surprise

Idź do oryginalnego materiału