Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Öffentlich zugängliche Amazon-Cloud-Dienste geben Nutzerdaten preis
Obanla Opeyemi
30. November 2022. TuxCare-Expertenteam
Tausende von Datenbanken, die auf dem Relationalen Datenbankdienst (RDS) von Amazon Web Services gehostet werden, geben persönliche Daten preis, was eine Goldgrube für Bedrohungsakteure sein könnte.
Die Freigabe erfolgt über die Snapshot-Funktion von Amazon RDS, die zur Sicherung der gehosteten Datenbanken verwendet wird. Benutzer können diese Funktion nutzen, um öffentliche Daten oder eine Vorlagendatenbank mit einer Anwendung zu teilen sowie einen öffentlichen RDS-Snapshot für die gemeinsame Nutzung zu erstellen, ohne sich mit Rollen und Richtlinien befassen zu müssen.
Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Passwörter, Kreditkartendaten, Token, Familienstand, Informationen über Autovermietungen und sogar Firmenlogins wurden bekannt, die von Hackern genutzt werden können.
Mitiga, ein israelisches Unternehmen, das die Untersuchung vom 21. September 2022 bis zum 20. Oktober 2022 durchführte, gab an, dass es 810 Snapshots entdeckte, die über einen Zeitraum von einigen Stunden bis hin zu Wochen öffentlich zugänglich waren, was sie anfällig für den Missbrauch durch böswillige Akteure macht.
Um zu demonstrieren, wie ein Bedrohungsakteur auf die Daten zugreifen könnte, erstellten die Forscher eine AWS-eigene Technik, die AWS Lambda Step Function und boto3, das Python-Softwareentwicklungskit, zum Scannen, Klonen und Extrahieren sensibler Informationen aus RDS-Snapshots in großem Maßstab verwendet.
Die Forscher beobachteten dann 2.783 RDS-Snapshots, von denen 810 öffentlich zugänglich waren. Darüber hinaus waren 1.859 der 2.783 Snapshots ein bis zwei Tage lang offengelegt, so dass ein Angreifer genug Zeit hatte, um sie leicht zu erhalten.
Mitiga weist jedoch darauf hin, dass AWS keine Schuld trifft, da AWS nicht nur RDS-Benutzer auf öffentlich zugängliche Snapshots aufmerksam macht, sondern auch Tools wie AWS Trusted Advisor bereitstellt, die Sicherheitsprobleme erkennen und Abhilfemaßnahmen empfehlen.
"Wir denken, dass es nicht übertrieben ist, vom schlimmsten Fall auszugehen - wenn Sie einen Snapshot für kurze Zeit veröffentlichen, könnte jemand die Metadaten und den Inhalt des Snapshots erhalten. Für Ihr Unternehmen und vor allem für die Privatsphäre Ihrer Kunden sollten Sie dies also nicht tun, wenn Sie nicht zu 100 Prozent sicher sind, dass sich keine sensiblen Daten im Inhalt oder in den Metadaten Ihres Snapshots befinden", so die Mitiga-Forscher.
Zu den Quellen für diesen Beitrag gehört ein Artikel im SCMagazine.
