Weleens gevoelige data opgeslagen op een Amazon-server? Dan is het hoog tijd om te controleren of die gegevens niet voor iedereen toegankelijk zijn. Want met BuckHacker hebben datadieven ze zo gevonden.
Het inbreken op computernetwerken en stelen van data lijkt voor velen wellicht een magische kunst, voorbehouden aan hyperintelligente oppernerds. Maar ook minder begenadigde hackers hebben steeds meer gereedschappen tot hun beschikking om onbeveiligde systemen of data op te sporen. Bekend is de zoekmachine Shodan voor het vinden van bijvoorbeeld onbeveiligde webservers, bewakingscamera’s of opslagapparatuur. Nieuw is BuckHacker voor het opsporen van zogenaamde Amazon S3-buckets die open en bloot aan het internet hangen.
Grote datalekken
‘Buckets’ zijn de plaatsen waar gebruikers van de Amazon S3-clouddienst statische data zoals back-ups en weblogs kunnen opslaan. Standaard zijn die gegevens alleen toegankelijk voor geautoriseerde gebruikers. Een aanpassing van de configuratie kan er echter voor zorgen dat een bucket voor iedereen vanaf het internet is te benaderen. Volgens onderzoek hangt 7 procent van de buckets open en bloot aan het internet.
Misconfiguraties van buckets leidden al tot grote datalekken. Zo lekte het Pentagon inlichtingendata die waren opgeslagen in drie Amazon S3-buckets. In totaal ging het om 1,8 miljard berichten, reacties en artikelen die het Amerika ministerie van Defensie gedurende acht jaar had verzameld. Beveiligingsonderzoeker ‘Wojciech’ trof in een open Amazon S3-bucket de jackpot aan: de privégegevens van maar liefst vijftigduizend Australische werknemers.
Zoekmachine voor buckets
Kan het nog erger? Helaas wel. Voorheen moesten datadieven op de hoogte zijn van de url van een open bucket. Daar hebben de ontwikkelaars van BuckHacker iets op bedacht. Ze ontwikkelden een tool waarmee je heel eenvoudig S3-buckets kunt opsporen, bijvoorbeeld door te zoeken op bucket- of filenaam. Grote kans dat daar de bedrijfsnaam in is verwerkt en zo kan de bezoeker van BuckHacker zoeken naar data van een bepaalde organisatie of uit een bepaalde categorie.
Het idee achter BuckHacker is niet nieuw. Bijvoorbeeld AWSBucketDump doet ongeveer hetzelfde. BuckHacker maakt het zoeken naar open buckets wel een stuk eenvoudiger. Technische kennis is eigenlijk niet nodig. Het is alsof je googelt naar gevoelige gegevens die per ongeluk onafgeschermd in een bucket staan.
Tegenover de Amerikaanse techsite Motherboard verklaarden de ontwikkelaars dat ze BuckHacker hebben ontwikkeld voor het aanwakkeren van het beveiligingsbewustzijn. ‘Teveel bedrijven werden de afgelopen jaren getroffen door verkeerde toegangsrechten voor buckets.’ BuckHacker slaat de resultaten van de zoekopdrachten op in een database, zodat iedereen kan opzoeken hoe het is gesteld met de security van bepaalde buckets.
Tref voorzorgsmaatregelen
Op Twitter lieten de ontwikkelaars weten dat deze eerste versie van de ‘dienst’ nog niet stabiel en voorlopig offline is voor onderhoud. Dat geeft organisaties de tijd om voorzorgsmaatregelen te treffen op het gebied van databescherming. Zo verklein je de kans dat je op de ‘bucket list’ van BuckHacker verschijnt en gevoelige gegevens op straat komen te liggen:
- Controleer op regelmatige basis de Access Control Lists en policies voor de toegang tot de S3-storage.
- Houd de toegangsrechten zo beperkt mogelijk. Een veelgemaakte fout is de toegang openstellen voor ‘geauthenticeerde AWS-gebruikers’. Dit betekent dat je alle AWS-gebruikers in de wereld toegang verleent.
- Let op de meldingen in het dashboard van S3 die kunnen duiden op een ongeoorloofde toegang. Blijf er wel alert op dat er altijd incidenten kunnen zijn die niet op het dashboard verschijnen.
Misschien is het sowieso verstandig om waardevolle data niet in een emmertje van Amazon te stoppen.