Support technique
Documentation
Connexion
Nous contacter
Les services de cloud computing d'Amazon exposés publiquement exposent les données des utilisateurs
Obanla Opeyemi
30 novembre 2022 - L'équipe d'experts de TuxCare
On a découvert que des milliers de bases de données hébergées sur le service de bases de données relationnelles (RDS) d'Amazon Web Services laissaient échapper des informations permettant d'identifier les personnes, ce qui pourrait constituer une mine d'or pour les acteurs de la menace.
L'exposition est fournie par la fonction snapshot d'Amazon RDS, qui est utilisée pour sauvegarder les bases de données hébergées. Les utilisateurs peuvent utiliser cette fonction pour partager des données publiques ou une base de données modèle avec une application, ainsi que pour créer un instantané Public RDS à partager sans avoir à s'occuper des rôles et des politiques.
Des noms, des adresses électroniques, des numéros de téléphone, des dates de naissance, des mots de passe, des informations sur les cartes de crédit, des jetons, l'état civil, des informations sur la location de voitures et même des identifiants d'entreprise ont été divulgués, autant d'éléments qui peuvent être utilisés par des pirates informatiques.
Mitiga, une société israélienne qui a mené les recherches du 21 septembre 2022 au 20 octobre 2022, a déclaré avoir découvert 810 instantanés qui ont été partagés publiquement pendant des durées variables allant de quelques heures à des semaines, ce qui les rend vulnérables aux abus des acteurs malveillants.
Pour démontrer comment un acteur menaçant pourrait accéder aux données, les chercheurs ont créé une technique native d'AWS qui utilise AWS Lambda Step Function et boto3, le kit de développement logiciel Python pour scanner, cloner et extraire des informations sensibles des instantanés RDS à grande échelle.
Les chercheurs ont ensuite observé 2 783 instantanés RDS, dont 810 étaient exposés publiquement. De plus, 1 859 de ces 2 783 instantanés ont été exposés pendant un à deux jours, ce qui laisse suffisamment de temps à un attaquant pour les obtenir facilement.
Toutefois, Mitiga souligne qu'AWS n'est pas à blâmer, car non seulement AWS informe les utilisateurs de RDS de l'existence d'instantanés exposés au public, mais il fournit également des outils tels que AWS Trusted Advisor, qui détecte les problèmes de sécurité et recommande des mesures correctives.
"Nous pensons qu'il n'est pas exagéré d'envisager le pire scénario - lorsque vous rendez un instantané public pendant une courte période, quelqu'un pourrait obtenir les métadonnées et le contenu de cet instantané. Donc, pour votre entreprise et, plus important encore, pour la vie privée de vos clients, ne faites pas cela si vous n'êtes pas sûr à 100 % qu'il n'y a pas de données sensibles dans le contenu ou dans les métadonnées de votre instantané", ont déclaré les chercheurs de Mitiga.
Les sources de cet article comprennent un article de SCMagazine.
