Enorme datalekken door misconfiguratie cloudopslag

Onderzoekers uit verschillende landen hebben grootschalige datalekken van vertrouwelijke informatie uit cloudopslagdiensten blootgelegd. Door misconfiguraties van gebruikers van populaire clouddiensten zoals AWS S3, Google Cloud Storage en Azure Blob Storage waren api-sleutels, persoonlijke documenten en medische dossiers publiekelijk toegankelijk.

Het onderzoek, geleid door Soufian El Yadmani, phd-student aan de Universiteit Leiden en oprichter van de Haagse databeveiliger Modat, onthult een zorgwekkend aantal cloudopslagdiensten dat foutief is geconfigureerd waardoor datalekken kunnen ontstaan. In veel gevallen gaat het om gevoelige gegevens die risico’s vormen voor derde partijen, zoals toegang tot databases, bedrijfsapplicaties of zelfs volledige it-infrastructuren.

De studie, waarbij ook de TU Delft en Csirt.Global, betrokken zijn, brengt vooral kwetsbaarheden in de buckets voor cloudopslag aan het licht. Een bucket is een compartiment met beleidsregels die bepalen welke acties kunnen worden uitgevoerd op objecten en data die in die bucket staan en wie ze mag uitvoeren. Het onderzoeksteam zette geavanceerde automatiseringstools in om de enorme hoeveelheid data te analyseren en te filteren en gebruikte daarnaast informatie uit openbare bronnen en gegevens uit de gelekte informatie zelf om de verantwoordelijken op te sporen. Dit bleek een arbeidsintensief proces, dat deels handmatig moest worden uitgevoerd vanwege de complexiteit van de meldingen. Het onderzoek is vooraf goedgekeurd door de ethische commissie van de Universiteit Leiden. De onderzoekers hanteerden strikte richtlijnen om de privacy van betrokkenen te waarborgen.

Landen en sectoren

Via de non-profitorganisatie Csirt.Global zijn de lekken gemeld bij de eigenaren van de cloudopslagdiensten. Van de organisaties die benaderd zijn, heeft circa zestig procent de kwetsbaarheden opgelost. Hoewel sommige bedrijven stilletjes de problemen verholpen, gaven anderen openlijk blijk van waardering. Geen enkele organisatie reageerde negatief op de meldingen, laten de onderzoekers weten.

De meldingen betreffen organisaties in meer dan veertien landen. De landen met de meest gevonden datalekken door configuratiefouten zijn de Verenigde Staten (25 procent), India (6 procent) en Australië (5 procent ). Ook Nederlandse organisaties werden getroffen en delen de veertiende plaats met zes andere landen. De sectoren waar de meeste lekken werden gevonden zijn ict- en techbedrijven, detailhandel en e-commerce, financiële instellingen, onderwijs, media en gezondheidszorg.

Noodzaak voor verbeteringen

Zelfs gerenommeerde organisaties, zoals banken, politiediensten en overheidsinstanties, bleken kwetsbaar. De onderzoekers concluderen dat de beveiliging van cloudopslag drastisch verbeterd moet worden. Ondanks de schaal en complexiteit van het probleem, bieden de positieve reacties op de meldingen hoop, stellen ze. ‘De resultaten tonen aan dat een groeiend aantal organisaties bewust bezig is met het versterken van hun digitale beveiliging.’

De onderzoekers stellen dat de overgrote meerderheid van de datalekken niet plaatsvindt door criminelen die inbreken en datasilo’s binnendringen. ‘Ze treden op vanwege menselijke fouten: verkeerde configuraties, vergissingen en een gebrek aan inspanningen op het gebied van systeembeheer. Dit is vooral duidelijk met de groeiende afhankelijkheid van cloudomgevingen voor het opslaan en hosten van gegevens.‘ Het proces van het vinden en openbaar maken van datalekken in de cloud voelde voor hen soms als “de vloer dweilen met de kraan open”. ‘Het openbaarmakingsproces van de datalekken verliep langzamer dan het aantal nieuwe datalekken dat opdook.’

Het volledige onderzoek is hier beschikbaar.