19,6 Δισεκατομμύρια Αρχεία Εκτεθειμένα σε 535.000 Ανοικτούς Κάδους Cloud

19,6 Δισεκατομμύρια Αρχεία Εκτεθειμένα σε 535.000 Ανοικτούς Κάδους Cloud

Μια νέα αναφορά από το Mysterium VPN αποκαλύπτει έναν ανησυχητικό αριθμό για ένα πρόβλημα που οι ερευνητές ασφαλείας προειδοποιούν εδώ και χρόνια: 19,6 δισεκατομμύρια αρχεία βρίσκονται αυτή τη στιγμή ανοικτά και προσβάσιμα στο διαδίκτυο, αποθηκευμένα σε περισσότερους από 535.000 λανθασμένα ρυθμισμένους κάδους αποθήκευσης cloud που δεν απαιτούν κωδικό πρόσβασης, ταυτοποίηση ή καμία δεξιότητα hacking για να προσπελαστούν. Μεταξύ αυτών των αρχείων υπάρχουν σχεδόν 700.000 αρχεία διαπιστευτηρίων και κλειδιών που θα μπορούσαν να δώσουν σε έναν επιτιθέμενο άμεση πρόσβαση σε ζωντανά συστήματα, βάσεις δεδομένων και εσωτερική υποδομή.

Δεν πρόκειται για παραβίαση με την παραδοσιακή έννοια. Κανείς δεν χρειάστηκε να εκμεταλλευτεί κάποια ευπάθεια ή να υποκλέψει κίνηση δικτύου. Τα δεδομένα είναι απλά ανοικτά, συνέπεια λανθασμένων ρυθμίσεων αποθήκευσης cloud που παρέμειναν έτσι.

Κλίμακα της Έκθεσης: 19,6 Δισεκατομμύρια Αρχεία, Μηδενικοί Κωδικοί

Ο τεράστιος όγκος των εκτεθειμένων δεδομένων είναι δύσκολο να συγκριθεί. Με 19,6 δισεκατομμύρια αρχεία διασκορπισμένα σε πάνω από μισό εκατομμύριο κάδους αποθήκευσης, αποτελεί μία από τις μεγαλύτερες καταγεγραμμένες περιπτώσεις έκθεσης λανθασμένων ρυθμίσεων κάδων cloud που έχει ποτέ καταγραφεί. Αυτοί οι κάδοι εκτείνονται σε πλατφόρμες cloud όπου οργανισμοί κάθε μεγέθους, από μεμονωμένους προγραμματιστές έως μεγάλες επιχειρήσεις, αποθηκεύουν δεδομένα εφαρμογών, αντίγραφα ασφαλείας, αρχεία καταγραφής και ευαίσθητα αρχεία.

Η λανθασμένη ρύθμιση της αποθήκευσης cloud δεν είναι νέο πρόβλημα, αλλά η κλίμακα που αναφέρεται εδώ υποδηλώνει ότι απέχει πολύ από το να έχει λυθεί. Οι προεπιλεγμένες ρυθμίσεις, οι βιαστικές αναπτύξεις και τα κενά στη γνώση ασφάλειας cloud συμβάλλουν στο να παραμένουν οι κάδοι δημόσια αναγνώσιμοι. Σε πολλές περιπτώσεις, οι υπεύθυνοι οργανισμοί μπορεί να μην γνωρίζουν καν ότι τα δεδομένα τους είναι εκτεθειμένα.

Αυτό αντικατοπτρίζει μοτίβα που παρατηρήθηκαν σε άλλα περιστατικά υψηλού προφίλ. Ένας κακοδιαμορφωμένος πίνακας αναλυτικών στο FTF Live άφησε πρόσφατα πάνω από 22 εκατομμύρια εγγραφές συνεδριών βιντεοκλήσεων ανοικτά προσβάσιμα, δείχνοντας πώς μια μεμονωμένη παράβλεψη υποδομής μπορεί να εκθέσει ευαίσθητα δεδομένα σε μαζική κλίμακα χωρίς καμία ενεργή επίθεση.

Γιατί τα Αρχεία Διαπιστευτηρίων και Κλειδιών Αποτελούν την Πιο Επικίνδυνη Διαρροή

Από τα 19,6 δισεκατομμύρια εκτεθειμένα αρχεία, τα σχεδόν 700.000 αρχεία διαπιστευτηρίων και κλειδιών αντιπροσωπεύουν την κατηγορία υψηλότερου κινδύνου με μεγάλη διαφορά. Αυτά τα αρχεία συχνά περιέχουν κλειδιά API, κωδικούς πρόσβασης βάσεων δεδομένων, ιδιωτικά κρυπτογραφικά κλειδιά, διαπιστευτήρια SSH και tokens πρόσβασης παρόχων cloud.

Όταν ένας επιτιθέμενος βρει ένα αρχείο διαπιστευτηρίων σε ανοικτό κάδο, το επόμενο βήμα δεν απαιτεί τεχνική πολυπλοκότητα. Μπορεί να πάρει αυτά τα διαπιστευτήρια και να πιστοποιηθεί απευθείας στα συστήματα που προστατεύουν. Αυτό θα μπορούσε να σημαίνει πρόσβαση ανάγνωσης και εγγραφής σε μια βάση δεδομένων παραγωγής, τη δυνατότητα να αναπτύξει υποδομή cloud στον λογαριασμό κάποιου άλλου ή είσοδο σε εσωτερικά συστήματα που διαφορετικά θα ήταν εντελώς απρόσιτα.

Οι εξαγωγές βάσεων δεδομένων αποτελούν ξεχωριστό αλλά εξίσου σοβαρό κίνδυνο. Αυτά τα αρχεία συχνά περιέχουν εγγραφές χρηστών, κρυπτογραφημένους ή απλούς κωδικούς πρόσβασης, προσωπικές πληροφορίες και δεδομένα συναλλαγών. Μια εξαγωγή βάσης δεδομένων από έναν πάροχο υγείας, μια χρηματοοικονομική πλατφόρμα ή έναν ιστότοπο ηλεκτρονικού εμπορίου μπορεί να περιέχει όλα όσα χρειάζεται ένας επιτιθέμενος για κλοπή ταυτότητας, κατάληψη λογαριασμού ή εκβιασμό.

Πώς οι Λανθασμένες Ρυθμίσεις Cloud Παρακάμπτουν Ακόμη και Δίκτυα Προστατευμένα με VPN

Μία από τις πιο παράδοξες πτυχές αυτού του τύπου έκθεσης είναι ότι παρακάμπτει πολλούς από τους ελέγχους ασφαλείας στους οποίους βασίζονται οι οργανισμοί. Τα VPN, τα τείχη προστασίας και οι έλεγχοι πρόσβασης δικτύου έχουν σχεδιαστεί για να προστατεύουν την κίνηση που κινείται μεταξύ συστημάτων. Αλλά όταν τα δεδομένα αποθηκεύονται σε δημόσιο κάδο cloud, δεν ταξιδεύουν καθόλου μέσω αυτών των προστατευμένων δικτύων. Βρίσκονται σε μια τοποθεσία που οποιοσδήποτε με σύνδεση στο διαδίκτυο μπορεί να προσεγγίσει.

Αυτό σημαίνει ότι ένας επιτιθέμενος σε άλλη χώρα, χωρίς πρόσβαση σε εταιρικό δίκτυο και χωρίς δυνατότητα παράκαμψης τείχους προστασίας, μπορεί να ανακτήσει τα περιεχόμενα ενός εκτεθειμένου κάδου πλοηγώντας απευθείας στη δημόσια διεύθυνση URL του. Τα δεδομένα υπάρχουν ουσιαστικά εκτός της περιμέτρου που τα περισσότερα οργανωσιακά εργαλεία ασφαλείας έχουν σχεδιαστεί να υπερασπίζονται.

Αυτός είναι ο λόγος που η έκθεση λανθασμένων ρυθμίσεων κάδων cloud έχει γίνει ένα από τα πιο αποτελεσματικά μονοπάτια συλλογής δεδομένων από φορείς απειλών. Δεν υπάρχει επίθεση προς ανίχνευση, ασυνήθιστη κίνηση προς σήμανση ή παραβίαση προς διερεύνηση. Από τη σκοπιά της υποδομής, κάποιος που διαβάζει έναν ανοικτό κάδο μοιάζει πανομοιότυπος με τη συνήθη κίνηση.

Τι Μπορούν να Κάνουν Άμεσα οι Οργανισμοί και οι Ιδιώτες

Για τους οργανισμούς που διαχειρίζονται αποθήκευση cloud, το πιο επείγον βήμα είναι ένας έλεγχος αδειών. Κάθε κάδος αποθήκευσης θα πρέπει να ελεγχθεί για να επιβεβαιωθεί ότι δεν είναι ρυθμισμένος για δημόσια πρόσβαση, εκτός εάν υπάρχει σκόπιμος, τεκμηριωμένος λόγος. Μεγάλοι πάροχοι cloud, συμπεριλαμβανομένων των AWS, Google Cloud και Azure, προσφέρουν όλοι εργαλεία για τον εντοπισμό κάδων με υπερβολικά επιτρεπτικούς ελέγχους πρόσβασης, και ορισμένοι παρέχουν πλέον ρυθμίσεις σε επίπεδο λογαριασμού για τον αποκλεισμό κάθε δημόσιας πρόσβασης από προεπιλογή.

Πέρα από τα δικαιώματα, η υγιεινή των διαπιστευτηρίων έχει τεράστια σημασία. Τα αρχεία διαπιστευτηρίων και κλειδιών δεν θα πρέπει ποτέ να αποθηκεύονται σε κάδους cloud υπό οποιεσδήποτε συνθήκες. Υπάρχουν εργαλεία διαχείρισης μυστικών ειδικά σχεδιασμένα για τον ασφαλή χειρισμό κλειδιών API, tokens και διαπιστευτηρίων, κρατώντας τα εντελώς εκτός αποθήκευσης αρχείων.

Για τους ιδιώτες, ο κίνδυνος αφορά λιγότερο αυτά που ελέγχετε και περισσότερο αυτά που ελέγχουν οι οργανισμοί που κατέχουν τα δεδομένα σας. Τα πρακτικά βήματα είναι γνωστά: χρησιμοποιήστε μοναδικούς, ισχυρούς κωδικούς πρόσβασης για κάθε λογαριασμό, ώστε μια διαρροή διαπιστευτηρίων από μία υπηρεσία να μην μπορεί να ξεκλειδώσει άλλες, ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων όπου προσφέρεται και παρακολουθείτε τους λογαριασμούς για ασυνήθιστη δραστηριότητα.

Τα ευρήματα του Mysterium VPN αποτελούν υπενθύμιση ότι ορισμένοι από τους πιο σημαντικούς κινδύνους ασφάλειας δεδομένων δεν περιλαμβάνουν καθόλου εξελιγμένες επιθέσεις. Περιλαμβάνουν συνηθισμένες διοικητικές παραλείψεις που παραμένουν ανεξέλεγκτες για μήνες ή χρόνια. Ο έλεγχος της υγιεινής της αποθήκευσης cloud δεν είναι εντυπωσιακή δουλειά, αλλά στην κλίμακα που περιγράφει αυτή η αναφορά, είναι μερικές από τις πιο σημαντικές εργασίες ασφαλείας που μπορεί να κάνει ένας οργανισμός αυτή τη στιγμή.