Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los servicios en la nube de Amazon expuestos públicamente dejan al descubierto los datos de los usuarios
Obanla Opeyemi
30 de noviembre de 2022 - Equipo de expertos TuxCare
Se ha descubierto que miles de bases de datos alojadas en el servicio de bases de datos relacionales (RDS) de Amazon Web Services están filtrando información de identificación personal, lo que podría constituir una mina de oro para los autores de amenazas.
La exposición la proporciona la característica de snapshot de Amazon RDS, que se utiliza para realizar backups de las bases de datos alojadas. Los usuarios pueden utilizar esta característica para compartir datos públicos o una base de datos de plantilla con una aplicación, así como crear una instantánea de RDS público para compartirla sin tener que lidiar con roles y políticas.
Se filtraron nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas, datos de tarjetas de crédito, fichas, estado civil, información sobre alquiler de coches e incluso nombres de usuario de empresas, todo lo cual puede ser utilizado por piratas informáticos.
Mitiga, una empresa israelí que llevó a cabo la investigación del 21 de septiembre al 20 de octubre de 2022, dijo que descubrió 810 instantáneas que se compartieron públicamente durante períodos variables que van desde unas pocas horas hasta semanas, lo que las hace vulnerables al abuso por parte de actores maliciosos.
Para demostrar cómo un actor de amenazas podría acceder a los datos, los investigadores crearon una técnica nativa de AWS que utiliza AWS Lambda Step Function y boto3, el kit de desarrollo de software de Python para escanear, clonar y extraer información sensible de instantáneas de RDS a gran escala.
Los investigadores observaron entonces 2.783 instantáneas de RDS, de las cuales 810 estaban expuestas públicamente. Además, 1.859 de las 2.783 instantáneas estuvieron expuestas entre uno y dos días, lo que daba a un atacante tiempo suficiente para obtenerlas fácilmente.
Sin embargo, Mitiga señala que AWS no tiene la culpa porque AWS no sólo hace que los usuarios de RDS sean conscientes de las instantáneas expuestas públicamente, sino que también proporciona herramientas como AWS Trusted Advisor, que detecta problemas de seguridad y recomienda medidas correctoras.
"Creemos que no es exagerado suponer el peor de los casos: cuando se hace pública una instantánea durante un breve periodo de tiempo, alguien podría obtener los metadatos y el contenido de esa instantánea. Así que, por el bien de tu empresa y, lo que es más importante, de la privacidad de tus clientes, no lo hagas si no estás seguro al 100% de que no hay datos sensibles en el contenido o en los metadatos de tu instantánea", afirman los investigadores de Mitiga.
Las fuentes de este artículo incluyen un artículo de SCMagazine.
