19,6 Milliarden Dateien in 535.000 offenen Cloud-Buckets ungeschützt

19,6 Milliarden Dateien in 535.000 offenen Cloud-Buckets ungeschützt

Ein neuer Bericht von Mysterium VPN hat eine erschütternde Zahl zu einem Problem geliefert, vor dem Sicherheitsforscher seit Jahren warnen: 19,6 Milliarden Dateien sind derzeit offen im Internet zugänglich, gespeichert in mehr als 535.000 fehlkonfigurierten Cloud-Speicher-Buckets, die weder Passwort noch Authentifizierung noch Hacking-Kenntnisse erfordern. Unter diesen Dateien befinden sich fast 700.000 Zugangsdaten- und Schlüsseldateien, die einem Angreifer direkten Zugang zu Live-Systemen, Datenbanken und interner Infrastruktur verschaffen könnten.

Dies ist kein Datenleck im herkömmlichen Sinne. Niemand musste eine Schwachstelle ausnutzen oder Netzwerkverkehr abfangen. Die Daten liegen schlicht offen – eine Folge falsch eingestellter Cloud-Speicherkonfigurationen, die so belassen wurden.

Das Ausmaß der Offenlegung: 19,6 Milliarden Dateien, null Passwörter

Die schiere Menge der offengelegten Daten lässt sich kaum in Worte fassen. 19,6 Milliarden Dateien, verteilt auf über eine halbe Million Speicher-Buckets, machen dies zu einem der größten dokumentierten Fälle von fehlkonfigurierten Cloud-Buckets, die jemals erfasst wurden. Diese Buckets erstrecken sich über Cloud-Plattformen, auf denen Organisationen jeder Größe – vom Solo-Entwickler bis zum Großunternehmen – Anwendungsdaten, Backups, Protokolle und vertrauliche Aufzeichnungen speichern.

Fehlkonfigurierter Cloud-Speicher ist kein neues Problem, doch der hier berichtete Umfang deutet darauf hin, dass es alles andere als gelöst ist. Standardeinstellungen, überhastete Bereitstellungen und Wissenslücken im Bereich Cloud-Sicherheit tragen dazu bei, dass Buckets öffentlich lesbar bleiben. In vielen Fällen wissen die verantwortlichen Organisationen möglicherweise nicht einmal, dass ihre Daten offenliegen.

Das spiegelt Muster wider, die auch bei anderen prominenten Vorfällen zu beobachten waren. Ein fehlerhaft konfiguriertes Analytics-Dashboard bei FTF Live ließ kürzlich über 22 Millionen Video-Chat-Sitzungsaufzeichnungen offen zugänglich und veranschaulichte, wie ein einziges Infrastruktur-Versehen riesige Mengen sensibler Daten ohne jeden aktiven Angriff offenlegen kann.

Warum Zugangsdaten- und Schlüsseldateien das gefährlichste Leck sind

Unter den 19,6 Milliarden offengelegten Dateien stellen die fast 700.000 Zugangsdaten- und Schlüsseldateien mit Abstand die risikoreichste Kategorie dar. Diese Dateien enthalten häufig API-Schlüssel, Datenbank-Passwörter, private kryptografische Schlüssel, SSH-Zugangsdaten und Zugriffstoken von Cloud-Anbietern.

Wenn ein Angreifer in einem offenen Bucket eine Zugangsdaten-Datei findet, muss er anschließend nichts technisch Anspruchsvolles mehr tun. Er kann diese Zugangsdaten nehmen und sich direkt bei den Systemen authentifizieren, die sie schützen sollen. Das kann Lese- und Schreibzugriff auf eine Produktivdatenbank bedeuten, die Möglichkeit, Cloud-Infrastruktur auf fremde Rechnung hochzufahren, oder den Zugang zu internen Systemen, die eigentlich vollkommen unzugänglich sein sollten.

Datenbank-Dumps stellen ein separates, aber ebenso gravierendes Risiko dar. Diese Dateien enthalten oft Benutzerdatensätze, gehashte oder im Klartext vorliegende Passwörter, persönliche Informationen und Transaktionsdaten. Ein Datenbank-Dump eines Gesundheitsdienstleisters, einer Finanzplattform oder einer E-Commerce-Seite kann alles enthalten, was ein Angreifer für Identitätsdiebstahl, Kontoübernahme oder Erpressung benötigt.

Wie Cloud-Fehlkonfigurationen selbst VPN-geschützte Netzwerke aushebeln

Ein eher kontraintuitiver Aspekt dieser Art von Offenlegung ist, dass sie viele der Sicherheitskontrollen umgeht, auf die sich Unternehmen verlassen. VPNs, Firewalls und Netzwerkzugangskontrollen sind darauf ausgelegt, den Verkehr zwischen Systemen zu schützen. Wenn Daten jedoch in einem öffentlichen Cloud-Bucket liegen, fließen sie überhaupt nicht durch diese geschützten Netzwerke – sie befinden sich an einem Ort, den jeder mit einer Internetverbindung erreichen kann.

Das bedeutet, dass ein Angreifer in einem anderen Land, ohne Zugang zum Unternehmensnetzwerk und ohne die Fähigkeit, eine Firewall zu umgehen, den Inhalt eines offenen Buckets abrufen kann, indem er direkt zu dessen öffentlicher URL navigiert. Die Daten existieren praktisch außerhalb des Perimeters, den die meisten betrieblichen Sicherheitswerkzeuge verteidigen sollen.

Deshalb ist die fehlkonfigurierte Offenlegung von Cloud-Speicher-Buckets zu einem der effizientesten Wege für die Datensammlung durch Bedrohungsakteure geworden. Es gibt keinen Angriff zu erkennen, keinen ungewöhnlichen Datenverkehr zu melden und keinen Einbruch zu untersuchen. Aus Sicht der Infrastruktur sieht das Lesen eines offenen Buckets genauso aus wie ganz normaler Datenverkehr.

Was Organisationen und Einzelpersonen jetzt tun können

Für Organisationen, die Cloud-Speicher verwalten, ist der dringendste Schritt ein Berechtigungsaudit. Jeder Speicher-Bucket sollte überprüft werden, ob er nicht öffentlich zugänglich ist – es sei denn, es gibt einen bewussten, dokumentierten Grund dafür. Große Cloud-Anbieter wie AWS, Google Cloud und Azure bieten allesamt Tools, um Buckets mit zu freizügigen Zugriffskontrollen zu identifizieren, und einige bieten inzwischen Einstellungen auf Kontoebene, um jeglichen öffentlichen Zugriff standardmäßig zu blockieren.

Jenseits von Berechtigungen ist der Umgang mit Zugangsdaten von enormer Bedeutung. Zugangsdaten- und Schlüsseldateien sollten unter keinen Umständen in Cloud-Speicher-Buckets abgelegt werden. Es gibt spezielle Secrets-Management-Tools, die genau dazu dienen, API-Schlüssel, Tokens und Zugangsdaten sicher zu handhaben und sie vollständig aus dem Dateispeicher herauszuhalten.

Für Einzelpersonen liegt das Risiko weniger in dem, was sie selbst kontrollieren, sondern vielmehr in dem, was die Organisationen kontrollieren, die ihre Daten halten. Die praktischen Schritte sind bekannt: Verwenden Sie für jedes Konto ein eigenes, starkes Passwort, damit ein Zugangsdaten-Dump eines Dienstes keine weiteren Konten öffnen kann; aktivieren Sie Multi-Faktor-Authentifizierung, wo immer sie angeboten wird; und beobachten Sie Ihre Konten auf ungewöhnliche Aktivitäten.

Die Erkenntnisse von Mysterium VPN erinnern uns daran, dass einige der schwerwiegendsten Datensicherheitsrisiken überhaupt keine ausgefeilten Angriffe beinhalten. Es geht um gewöhnliche administrative Versehen, die monate- oder jahrelang unentdeckt bleiben. Die Cloud-Speicher-Hygiene zu überprüfen, ist keine glamouröse Arbeit, aber in dem Ausmaß, das dieser Bericht beschreibt, ist es eine der folgenreichsten Sicherheitsmaßnahmen, die eine Organisation derzeit ergreifen kann.