19,6 милиарда файла, изложени в 535 000 отворени облачни кофи

19,6 милиарда файла, изложени в 535 000 отворени облачни кофи

Нов доклад на Mysterium VPN показва зашеметяващо число за проблем, за който изследователите по сигурността предупреждават от години: 19,6 милиарда файла се намират свободно достъпни в интернет точно сега, съхранявани в повече от 535 000 неправилно конфигурирани облачни кофи за съхранение, които не изискват парола, удостоверяване или хакерски умения за достъп. Сред тези файлове има близо 700 000 файла с удостоверения и ключове, които биха могли да дадат на атакуващ пряк достъп до работещи системи, бази данни и вътрешна инфраструктура.

Това не е пробив в традиционния смисъл. Никой не е трябвало да използва уязвимост или да прихваща мрежов трафик. Данните просто са отворени – следствие от неправилно зададени конфигурации на облачното хранилище, оставени по този начин.

Мащабът на излагането: 19,6 милиарда файла, нула пароли

Самият обем на изложените данни е трудно да бъде осмислен. 19,6 милиарда файла, разпределени в над половин милион кофи за съхранение, представляват един от най-големите документирани случаи на излагане на данни от неправилно конфигурирани облачни хранилища, регистрирани някога. Тези кофи обхващат облачни платформи, където организации от всякакъв мащаб – от индивидуални разработчици до големи предприятия – съхраняват данни от приложения, резервни копия, логове и чувствителни записи.

Неправилно конфигурираното облачно хранилище не е нов проблем, но мащабът, докладван тук, подсказва, че той далеч не е решен. Настройки по подразбиране, прибързани внедрявания и пропуски в познанията за облачна сигурност допринасят кофите да остават публично четими. В много случаи отговорните организации може дори да не знаят, че данните им са изложени.

Това наподобява модели, наблюдавани в други нашумeли инциденти. Наскоро неправилно конфигуриран аналитичен панел в FTF Live остави над 22 милиона записа от сесии за видеочат свободно достъпни, илюстрирайки как един-единствен инфраструктурен пропуск може да изложи чувствителни данни в огромен мащаб без никаква активна атака.

Защо файловете с удостоверения и ключове са най-опасният теч

От всичките 19,6 милиарда изложени файла близо 700 000-те файла с удостоверения и ключове представляват категорията с най-висок риск, и то със значителна разлика. Тези файлове често съдържат API ключове, пароли за бази данни, частни криптографски ключове, SSH удостоверения и токени за достъп до облачни доставчици.

Когато атакуващ открие файл с удостоверения в отворена кофа, след това не се нуждае от нищо технически сложно. Може да вземе тези удостоверения и да се удостовери директно пред системите, които те защитават. Това може да означава достъп за четене и запис до продуктова база данни, възможност да стартира облачна инфраструктура от чужд акаунт или влизане във вътрешни системи, които иначе биха били напълно недостъпни.

Изхвърлянията на бази данни представляват отделен, но също толкова сериозен риск. Тези файлове често съдържат потребителски записи, хеширани или в чист текст пароли, лична информация и данни за транзакции. Изхвърляне на база данни от здравно заведение, финансова платформа или сайт за електронна търговия може да съдържа всичко, от което атакуващият се нуждае, за да извърши кражба на самоличност, превземане на акаунт или изнудване.

Как неправилните конфигурации в облака заобикалят дори защитени с VPN мрежи

Един от по-неинтуитивните аспекти на този тип излагане е, че то заобикаля много от контролите за сигурност, на които организациите разчитат. VPN-ите, защитните стени и мрежовите контроли за достъп са проектирани да защитават трафика, движещ се между системите. Но когато данните се съхраняват в публична облачна кофа, те изобщо не преминават през тези защитени мрежи. Те се намират на място, до което всеки с интернет връзка може да достигне.

Това означава, че атакуващ в друга държава, без достъп до корпоративната мрежа и без възможност да заобиколи защитна стена, все пак може да извлече съдържанието на изложена кофа, като просто навигира директно до нейния публичен URL. Данните на практика съществуват извън периметъра, който повечето инструменти за организационна сигурност са проектирани да защитават.

Ето защо излагането от неправилно конфигурирани облачни кофи за съхранение се е превърнало в един от най-ефективните пътища за събиране на данни от заплашващите участници. Няма атака за откриване, няма необичаен трафик за сигнализиране и няма проникване за разследване. От гледна точка на инфраструктурата някой, който чете отворена кофа, изглежда идентично на рутинния трафик.

Какво могат да направят организациите и хората още сега

За организациите, управляващи облачно съхранение, най-неотложната стъпка е одит на правата за достъп. Всяка кофа за съхранение трябва да бъде прегледана, за да се потвърди, че не е настроена за публичен достъп, освен ако няма преднамерена, документирана причина за това. Основните облачни доставчици, включително AWS, Google Cloud и Azure, предлагат инструменти за идентифициране на кофи с прекалено разрешителни контроли за достъп, а някои вече предоставят настройки на ниво акаунт за блокиране на целия публичен достъп по подразбиране.

Отвъд правата за достъп, хигиената на удостоверенията има огромно значение. Файловете с удостоверения и ключове никога не трябва да се съхраняват в облачни кофи, при никакви обстоятелства. Съществуват инструменти за управление на тайни, специално създадени за сигурно боравене с API ключове, токени и удостоверения, като ги държат напълно извън файловото съхранение.

За физическите лица рискът е свързан по-малко с това, което те контролират, и повече с това, което контролират организациите, държащи техните данни. Практическите стъпки са познати: използвайте уникални, силни пароли за всеки акаунт, така че изхвърлянето на удостоверения от една услуга да не може да отключи други; активирайте многофакторно удостоверяване навсякъде, където се предлага; и следете акаунтите за необичайна активност.

Констатациите на Mysterium VPN са напомняне, че някои от най-значимите рискове за сигурността на данните изобщо не включват сложни атаки. Те включват обикновени административни пропуски, които остават непроверени с месеци или години. Одитирането на хигиената на облачното съхранение не е бляскава работа, но в мащаба, описан в този доклад, това е една от най-съществените задачи по сигурност, която една организация може да извърши точно сега.