Benutzer von Amazon S3 geben unbeabsichtigt Milliarden sensitiver Dokumente frei

Amazons Simple Storage Service (S3) finden viele Firmen ungemein praktisch. Zu moderaten Preisen steht Speicherplatz im Netz zur Verfügung. Allerdings scheint vielen Benutzern nicht klar zu sein, dass dort gelagerte Daten auch entsprechend geschützt werden müssen. Das ergab jedenfalls eine Untersuchung der Sicherheitsspezialisten von S7, deren Ergebnisse sie auf ihrem Blog veröffentlichten: Von rund 12328 "buckets" (Verzeichnissen) waren 1951, also knapp ein Sechstel, öffentlich zugänglich (public) und 10377 mit einem Zugriffsschutz versehen.

Und das dürfte kaum Absicht sein. Denn in den öffentlich zugänglichen Verzeichnissen befanden sich laut S7 126 Milliarden Dateien mit Daten, die kaum für die Öffentlichkeit gedacht sein dürften. Die Untersuchung einer Stichprobe von 40 000 Files brachte Geschäftsberichte, persönliche Fotos, Zugangsdaten für diverse Dienste und so weiter zu Tage.

Für das automatische Scannen der S3-URLs wurde unter anderem eine Kombination von Wörterbuchattacken auf Basis von Fortune-1000- und anderen Firmenverzeichnissen nebst entsprechender Permutation eingesetzt. Die S7-Spezialisten empfehlen, sich noch einmal die S3-Sicherheits-Optionen anzusehen und zu prüfen, ob auch die eigene Firma für alle Welt offene Verzeichnisse in der Cloud bereit hält. Die Default-Einstellung beim Anlegen eines Bucket ist übrigens, dass nur der Benutzer selbst Zugriff auf die Daten hat. (js)