専門家によれば、誤って設定された AWS S3 ストレージ バケットによって大量のデータがインターネットに公開されることは、爆発を待つ不発弾のようなものだという。
Truffle Securityのチームによると、同社の自動検索ツールは、企業が公開したくないログイン認証情報、セキュリティキー、APIキーなどのデータを含む、Amazonがホストする公開済みのS3バケットを約4,000個発見することができたという。
実際、リークハンターによると、漏洩したデータは非常に多岐にわたり、リポジトリごとに分析したファイル1つあたり平均約2.5個のパスワードとアクセストークンが見つかったとのことです。1つのファイルで10個以上の秘密情報が見つかったケースもあれば、全く秘密情報が含まれないファイルもありました。
これらの認証情報には、SQL Server のパスワード、Coinbase API キー、MongoDB の認証情報、実際にパスワードを要求するように設定された他の AWS バケットへのログインが含まれていました。
Truffle Security チームが、個人情報を含む安全でないバケットを約 4,000 個発見できたことは、企業がクラウド ストレージ インスタンスを無防備なままにしておくことがいかに一般的であるかを示しています。
AWS は顧客にクラウドインスタンスをロックダウンさせるためにできる限りのことを行っていますが、無防備なストレージバケットやデータベースを見つけることは、訓練を受けたセキュリティ専門家にとっては非常に簡単です。
場合によっては、漏洩ハンターは法律事務所と提携し、被害を受けた顧客を、データを漏洩した企業に対する集団訴訟に参加させる際に紹介料を徴収している。
これはニャーが否定したシステムだ。3,000以上の安全でないデータベースとデータ消去ボットの完璧な嵐だ。
続きを読む
多くの場合、安全でないバケットには、企業が公開したい情報、または少なくとも世界に公開しても構わない情報が含まれていますが、これらのインスタンスには厳重に保護しておきたい情報も含まれていることがわかりました。
Truffle は、影響を受けた企業に通知するか、少なくとも AWS によって漏れのあるバケットをオフラインにするよう努めていると述べている。
「数百件の開示を行い、場合によってはプロバイダーと提携して、所有者を特定できなかったバケットのキーを取り消してもらった」とチームは今月説明した。
「開示対象は、数十社のフォーチュン500企業から、NGOや小規模なスタートアップ企業まで多岐にわたります。」
バケットがオープンのまま残されていたという事実自体がかなり悪いのですが、Truffle チームは、本当の危険は、公開された「秘密」によって連鎖的な影響が生じ、攻撃者が公開されたキーや認証情報を使用して、より安全な他のアカウントやサービスに侵入できる可能性があると考えています。
言い換えれば、誤って設定されたバケットが、はるかに大規模なデータ漏洩の入り口となることを懸念しているのです。
「認証されたバケットには、認証されていないバケットよりも多くのシークレットが含まれていると想定するのは妥当でしょう。これは、認証によってセキュリティバーがより高くなると暗黙的に想定されるためです。つまり、攻撃者は最初のバケットを使ってキーを見つけ出し、さらに次のバケットのロックを解除することで、さらに多くのキーを露出させ、それによってさらに多くのバケットを露出させる、といったことが可能になる可能性が高いのです」とTruffleチームは説明しています。
「明白な理由から、これらの鍵は使用せず、この可能性も調査していませんが、このタイプの攻撃は「ワーム化可能」です。つまり、1つのバケットが別のバケットにつながり、漏洩の影響が拡大します。」®
