19,6 miliardy souborů odhaleno v 535 000 otevřených cloudových úložištích

19,6 miliardy souborů odhaleno v 535 000 otevřených cloudových úložištích

Nová zpráva od Mysterium VPN přinesla ohromující čísla k problému, před kterým bezpečnostní výzkumníci varují už roky: 19,6 miliardy souborů je právě teď volně přístupných na internetu, uložených ve více než 535 000 špatně nakonfigurovaných cloudových úložištích, k nimž není potřeba žádné heslo, žádná autentizace a žádné hackerské dovednosti. Mezi těmito soubory je téměř 700 000 souborů s přihlašovacími údaji a klíči, které by útočníkovi mohly poskytnout přímý přístup k živým systémům, databázím a interní infrastruktuře.

Nejde o tradiční únik dat. Nikdo nemusel zneužívat zranitelnost ani odposlouchávat síťový provoz. Data jsou jednoduše otevřená – důsledek nesprávně nastavené konfigurace cloudového úložiště, která tak zůstala.

Rozsah odhalení: 19,6 miliardy souborů, nula hesel

Už samotný objem odhalených dat je obtížné si představit. S 19,6 miliardami souborů rozprostřených po více než půl milionu úložišť jde o jeden z největších zdokumentovaných případů špatně nakonfigurovaných cloudových úložišť, jaký byl kdy katalogizován. Tato úložiště se nacházejí na cloudových platformách, kde organizace všech velikostí – od samostatných vývojářů po velké podniky – ukládají aplikační data, zálohy, logy a citlivé záznamy.

Špatně nakonfigurované cloudové úložiště není novým problémem, ale rozsah, který zpráva uvádí, naznačuje, že zdaleka není vyřešen. Výchozí nastavení, uspěchaná nasazení a mezery ve znalostech cloudové bezpečnosti – to vše přispívá k tomu, že úložiště zůstávají veřejně čitelná. Odpovědné organizace si přitom často ani nemusí být vědomy, že jsou jejich data vystavena.

To odráží vzorce viděné u jiných vysoce profilovaných incidentů. Špatně nakonfigurovaný analytický dashboard FTF Live nedávno ponechal otevřeně přístupných více než 22 milionů záznamů videochatových relací, což ukazuje, jak jediné infrastrukturní opomenutí může v masivním měřítku odhalit citlivá data, aniž by probíhal jakýkoli aktivní útok.

Proč jsou soubory s přihlašovacími údaji a klíči nejnebezpečnějším únikem

Z 19,6 miliardy odhalených souborů tvoří téměř 700 000 souborů s přihlašovacími údaji a klíči s velkým náskokem nejrizikovější kategorii. Tyto soubory často obsahují API klíče, hesla k databázím, soukromé kryptografické klíče, SSH přihlašovací údaje a přístupové tokeny ke cloudovým poskytovatelům.

Když útočník najde v otevřeném úložišti soubor s přihlašovacími údaji, nemusí už podnikat nic technicky sofistikovaného. Může tyto údaje použít a přímo se autentizovat do systémů, které chrání. To může znamenat čtení a zápis do produkční databáze, možnost rozjíždět cloudovou infrastrukturu na cizí účet nebo vstup do interních systémů, které by jinak byly zcela nepřístupné.

Výpisy databází představují samostatné, ale stejně závažné riziko. Tyto soubory často obsahují uživatelské záznamy, hesla v hashované či čisté podobě, osobní údaje a transakční data. Databázový výpis od poskytovatele zdravotní péče, z finanční platformy nebo e-shopu může obsahovat vše, co útočník potřebuje ke krádeži identity, převzetí účtu nebo vydírání.

Jak špatná konfigurace cloudu obchází i sítě chráněné VPN

Jedním z nejvíce neintuitivních aspektů tohoto typu odhalení je, že obchází mnoho bezpečnostních opatření, na která se organizace spoléhají. VPN, firewally a řízení síťového přístupu jsou navrženy tak, aby chránily provoz putující mezi systémy. Jenže když jsou data uložena ve veřejném cloudovém úložišti, vůbec těmito chráněnými sítěmi neprocházejí. Leží na místě, kam může dosáhnout kdokoli s internetovým připojením.

To znamená, že útočník v jiné zemi, bez přístupu k firemní síti a bez schopnosti obejít firewall, může stále získat obsah odhaleného úložiště tak, že přistoupí přímo na jeho veřejnou URL adresu. Data se tak fakticky nacházejí mimo perimetr, který má většina firemních bezpečnostních nástrojů chránit.

Právě proto se špatně nakonfigurovaná cloudová úložiště stala jednou z nejefektivnějších cest pro sběr dat hrozbovými aktéry. Není tu žádný útok k detekci, žádný neobvyklý provoz k označení, žádný průnik k vyšetřování. Z pohledu infrastruktury vypadá čtení otevřeného úložiště identicky jako běžný provoz.

Co mohou organizace a jednotlivci udělat právě teď

Pro organizace spravující cloudová úložiště je nejnaléhavějším krokem audit oprávnění. Každé úložiště by mělo být zkontrolováno, aby bylo potvrzeno, že není nastaveno na veřejný přístup – pokud k tomu neexistuje záměrný, zdokumentovaný důvod. Hlavní cloudoví poskytovatelé včetně AWS, Google Cloud a Azure nabízejí nástroje k identifikaci úložišť s příliš benevolentním nastavením přístupu a někteří nyní poskytují nastavení na úrovni účtu, které ve výchozím stavu blokuje veškerý veřejný přístup.

Kromě oprávnění nesmírně záleží na hygieně přihlašovacích údajů. Soubory s přihlašovacími údaji a klíči by za žádných okolností neměly být ukládány do cloudových úložišť. Existují nástroje pro správu tajemství určené speciálně k bezpečné správě API klíčů, tokenů a přihlašovacích údajů, které je udržují zcela mimo souborové úložiště.

Pro jednotlivce riziko spočívá méně v tom, co ovládají vy, a více v tom, co ovládají organizace, které drží vaše data. Praktické kroky jsou známé: používejte pro každý účet jedinečná, silná hesla, aby výpis přihlašovacích údajů z jedné služby neodemkl ostatní, všude, kde je to možné, zapněte vícefaktorové ověřování a sledujte účty kvůli neobvyklé aktivitě.

Zjištění Mysterium VPN jsou připomínkou, že některá z nejvýznamnějších rizik v oblasti bezpečnosti dat vůbec nezahrnují sofistikované útoky. Zahrnují běžná administrativní opomenutí, která zůstanou bez povšimnutí měsíce či roky. Audit hygieny cloudového úložiště není okouzlující práce, ale v měřítku, které tato zpráva popisuje, je to jedna z nejzásadnějších bezpečnostních činností, kterou může organizace právě teď udělat.