19,6 milijardi datoteka izloženo u 535.000 otvorenih spremnika za pohranu u oblaku

19,6 milijardi datoteka izloženo u 535.000 otvorenih spremnika za pohranu u oblaku

Novo izvješće tvrtke Mysterium VPN donijelo je zapanjujuću brojku o problemu na koji sigurnosni istraživači upozoravaju godinama: 19,6 milijardi datoteka trenutno je javno dostupno na internetu, pohranjeno u više od 535.000 pogrešno konfiguriranih spremnika za pohranu u oblaku kojima se može pristupiti bez lozinke, bez provjere autentičnosti i bez ikakvog hakerskog znanja. Među tim datotekama nalazi se gotovo 700.000 datoteka s vjerodajnicama i ključevima koje bi napadaču mogle omogućiti izravan pristup aktivnim sustavima, bazama podataka i unutarnjoj infrastrukturi.

Ovo nije povreda podataka u tradicionalnom smislu. Nitko nije morao iskoristiti ranjivost niti presretati mrežni promet. Podaci su jednostavno otvoreni – posljedica pogrešno postavljenih postavki pohrane u oblaku koje su tako i ostavljene.

Razmjeri izloženosti: 19,6 milijardi datoteka, nula lozinki

Samu količinu izloženih podataka teško je staviti u kontekst. S 19,6 milijardi datoteka raspoređenih u više od pola milijuna spremnika za pohranu, ovo je jedan od najvećih ikada dokumentiranih slučajeva izloženosti pogrešno konfiguriranih spremnika u oblaku. Ti se spremnici nalaze na cloud platformama na kojima organizacije svih veličina – od pojedinačnih razvojnih inženjera do velikih poduzeća – pohranjuju podatke aplikacija, sigurnosne kopije, zapise i osjetljive evidencije.

Pogrešno konfigurirana pohrana u oblaku nije novi problem, ali ovdje navedeni razmjeri upućuju na to da je daleko od riješenog. Zadane postavke, ubrzana postavljanja i praznine u znanju o sigurnosti u oblaku – sve to pridonosi tome da spremnici ostanu javno čitljivi. U mnogim slučajevima odgovorne organizacije možda uopće ne znaju da su njihovi podaci izloženi.

To odražava obrasce viđene u drugim visokoprofilnim incidentima. Pogrešno konfigurirana analitička nadzorna ploča u FTF Live nedavno je ostavila javno dostupnim više od 22 milijuna zapisa sesija videochatova, pokazujući kako jedan jedini infrastrukturni propust može izložiti osjetljive podatke u ogromnim razmjerima bez ikakvog aktivnog napada.

Zašto su datoteke s vjerodajnicama i ključevima najopasniji oblik curenja

Od 19,6 milijardi izloženih datoteka, gotovo 700.000 datoteka s vjerodajnicama i ključevima predstavlja kategoriju najvišeg rizika sa značajnom razlikom u odnosu na ostale. Te datoteke često sadrže API ključeve, lozinke baza podataka, privatne kriptografske ključeve, SSH vjerodajnice i pristupne tokene cloud pružatelja.

Kad napadač pronađe datoteku s vjerodajnicama u otvorenom spremniku, dalje ne mora raditi ništa tehnički sofisticirano. Može uzeti te vjerodajnice i izravno se autentificirati na sustave koje one štite. To bi moglo značiti pristup za čitanje i pisanje u produkcijsku bazu podataka, mogućnost pokretanja infrastrukture u oblaku na tuđem računu ili ulazak u interne sustave koji bi inače bili potpuno nedostupni.

Izvodi baza podataka predstavljaju zaseban, ali jednako ozbiljan rizik. Te datoteke često sadrže korisničke zapise, hashirane ili čiste lozinke, osobne podatke i podatke o transakcijama. Izvod baze podataka pružatelja zdravstvenih usluga, financijske platforme ili e-trgovine može sadržavati sve što napadaču treba za krađu identiteta, preuzimanje računa ili iznudu.

Kako pogrešne konfiguracije u oblaku zaobilaze čak i mreže zaštićene VPN-om

Jedan od kontraintuitivnijih aspekata ove vrste izloženosti jest to da zaobilazi mnoge sigurnosne kontrole na koje se organizacije oslanjaju. VPN-ovi, vatrozidi i kontrole pristupa mreži osmišljeni su da štite promet koji se kreće između sustava. No, kada su podaci pohranjeni u javnom spremniku u oblaku, oni uopće ne putuju tim zaštićenim mrežama. Nalaze se na lokaciji do koje svatko s internetskom vezom može doći.

To znači da napadač u drugoj zemlji, bez pristupa korporativnoj mreži i bez mogućnosti zaobilaženja vatrozida, ipak može dohvatiti sadržaj izloženog spremnika izravnim odlaskom na njegov javni URL. Podaci zapravo postoje izvan perimetra koji je većina organizacijskih sigurnosnih alata osmišljena braniti.

Zbog toga je izloženost pogrešno konfiguriranih spremnika za pohranu u oblaku postala jedan od najučinkovitijih putova za prikupljanje podataka od strane zlonamjernih aktera. Nema napada koji bi se otkrio, nema neobičnog prometa koji bi se označio i nema upada koji bi se istraživao. Iz perspektive infrastrukture, netko tko čita otvoreni spremnik izgleda identično uobičajenom prometu.

Što organizacije i pojedinci mogu učiniti odmah

Za organizacije koje upravljaju pohranom u oblaku, najhitniji je korak revizija dozvola. Svaki spremnik za pohranu trebalo bi pregledati i potvrditi da mu pristup nije postavljen kao javan, osim ako za to postoji namjeran, dokumentiran razlog. Vodeći cloud pružatelji, uključujući AWS, Google Cloud i Azure, nude alate za prepoznavanje spremnika s previše permisivnim kontrolama pristupa, a neki sada pružaju i postavke na razini računa koje prema zadanim postavkama blokiraju sav javni pristup.

Osim dozvola, iznimno je važna higijena vjerodajnica. Datoteke s vjerodajnicama i ključevima ni pod kojim uvjetima ne bi trebalo pohranjivati u spremnike za pohranu u oblaku. Alati za upravljanje tajnama postoje upravo kako bi API ključeve, tokene i vjerodajnice sigurno obrađivali, držeći ih potpuno izvan datotečne pohrane.

Za pojedince, rizik se manje odnosi na ono što sami kontroliraju, a više na ono što kontroliraju organizacije koje čuvaju njihove podatke. Praktični koraci poznati su: koristite jedinstvene, snažne lozinke za svaki račun kako curenje vjerodajnica s jedne usluge ne bi moglo otključati druge, omogućite višefaktorsku autentifikaciju gdje god je ponuđena i pratite račune radi neuobičajene aktivnosti.

Nalazi tvrtke Mysterium VPN podsjetnik su da neki od najznačajnijih rizika po sigurnost podataka uopće ne uključuju sofisticirane napade. Riječ je o običnim administrativnim propustima koji mjesecima ili godinama prolaze nezapaženo. Revizija higijene pohrane u oblaku nije glamurozan posao, no u razmjerima opisanim u ovom izvješću, to je jedan od najdalekosežnijih sigurnosnih poslova koje organizacija trenutno može obaviti.