19,6 milliárd fájl szabadon hozzáférhető 535 000 nyitott felhőtároló bucketben

19,6 milliárd fájl szabadon hozzáférhető 535 000 nyitott felhőtároló bucketben

A Mysterium VPN új jelentése döbbenetes számot közölt arról a problémáról, amelyre a biztonsági kutatók évek óta figyelmeztetnek: jelenleg 19,6 milliárd fájl szabadon hozzáférhető az interneten, több mint 535 000 rosszul konfigurált felhőtároló bucketben, amelyekhez sem jelszó, sem hitelesítés, sem hackertudás nem szükséges. Ezek között a fájlok között közel 700 000 hitelesítő adatokat és kulcsokat tartalmazó fájl található, amelyekkel egy támadó közvetlen hozzáférést szerezhet élő rendszerekhez, adatbázisokhoz és belső infrastruktúrához.

Ez nem a hagyományos értelemben vett adatvédelmi incidens. Senkinek sem kellett sebezhetőséget kihasználnia vagy hálózati forgalmat elfognia. Az adatok egyszerűen csak nyitva vannak, a helytelenül beállított felhőtároló-konfigurációk következményeként, és így is maradtak.

Az érintettség mértéke: 19,6 milliárd fájl, nulla jelszó

A szabadon hozzáférhető adatok puszta mennyisége nehezen értelmezhető. A 19,6 milliárd fájl, amely több mint félmillió tárolóbucketben található, a rosszul konfigurált felhőtároló bucketek valaha dokumentált egyik legnagyobb esetét jelenti. Ezek a bucketek olyan felhőplatformokon találhatók, ahol mindenféle méretű szervezet – az egyéni fejlesztőktől a nagyvállalatokig – alkalmazásadatokat, biztonsági mentéseket, naplókat és érzékeny nyilvántartásokat tárol.

A rosszul konfigurált felhőtárolás nem új probléma, de az itt jelentett mérték arra utal, hogy messze nem megoldott. Az alapértelmezett beállítások, az elsietett telepítések és a felhőbiztonsági ismeretek hiányosságai mind hozzájárulnak ahhoz, hogy a bucketek nyilvánosan olvashatóak maradjanak. Sok esetben az érintett szervezetek talán nem is tudják, hogy adataik hozzáférhetők.

Ez a minta más, nagy horderejű esetekben is megfigyelhető. Egy rosszul konfigurált analitikai irányítópult az FTF Live-nál nemrég több mint 22 millió videóchat-munkamenet rekordját tette szabadon hozzáférhetővé, ami jól mutatja, hogy egyetlen infrastrukturális figyelmetlenség is hatalmas mennyiségű érzékeny adatot tehet közzé, minden aktív támadás nélkül.

Miért a hitelesítő adatokat és kulcsokat tartalmazó fájlok jelentik a legveszélyesebb szivárgást?

A 19,6 milliárd szabadon hozzáférhető fájl közül a közel 700 000 hitelesítő adatokat és kulcsokat tartalmazó fájl messze a legmagasabb kockázati kategóriát képviseli. Ezek a fájlok gyakran tartalmaznak API-kulcsokat, adatbázis-jelszavakat, privát titkosítási kulcsokat, SSH-hitelesítő adatokat és felhőszolgáltatói hozzáférési tokeneket.

Amikor egy támadó hitelesítő fájlt talál egy nyitott bucketben, a következő lépéshez nincs szüksége semmilyen technikai kifinomultságra. Foghatja ezeket a hitelesítő adatokat, és közvetlenül hitelesítheti magát az általuk védett rendszerekben. Ez jelenthet olvasási és írási hozzáférést egy éles adatbázishoz, lehetőséget felhő infrastruktúra indítására valaki más fiókjában, vagy belépést olyan belső rendszerekbe, amelyek egyébként teljesen elérhetetlenek lennének.

Az adatbázis-dumpok különálló, de ugyanolyan súlyos kockázatot jelentenek. Ezek a fájlok gyakran tartalmaznak felhasználói rekordokat, hashelt vagy nyílt szövegű jelszavakat, személyes adatokat és tranzakciós adatokat. Egy egészségügyi szolgáltató, pénzügyi platform vagy e-kereskedelmi oldal adatbázis-dumpja mindent tartalmazhat, amire egy támadónak szüksége van személyazonosság-lopáshoz, fiókátvételhez vagy zsaroláshoz.

Hogyan kerülik meg a felhőalapú konfigurációs hibák még a VPN-védett hálózatokat is?

Az ilyen típusú adatszivárgás egyik legellentmondásosabb aspektusa, hogy számos olyan biztonsági ellenőrzést kikerül, amelyekre a szervezetek támaszkodnak. A VPN-eket, tűzfalakat és hálózati hozzáférés-vezérlést a rendszerek közötti forgalom védelmére tervezték. Ám amikor az adatokat nyilvános felhőbucketben tárolják, az egyáltalán nem halad át ezeken a védett hálózatokon. Olyan helyen található, amelyet bárki elérhet internetkapcsolattal.

Ez azt jelenti, hogy egy másik országban tartózkodó támadó, aki nem fér hozzá a vállalati hálózathoz, és nem képes megkerülni a tűzfalat, akkor is letöltheti a nyitott bucket tartalmát, ha közvetlenül a nyilvános URL-jére navigál. Az adat gyakorlatilag azon a határon kívül létezik, amelynek védelmére a legtöbb szervezeti biztonsági eszközt tervezték.

Éppen ezért vált a rosszul konfigurált felhőtároló bucketek szabaddá válása az egyik leghatékonyabb adatgyűjtési úttá a fenyegető szereplők számára. Nincs támadás, amelyet észlelni lehetne, nincs szokatlan forgalom, amit jelezni kellene, és nincs behatolás, amit ki kellene vizsgálni. Az infrastruktúra szempontjából az, ha valaki kiolvas egy nyitott bucketet, ugyanúgy néz ki, mint a rutinszerű forgalom.

Mit tehetnek a szervezetek és az egyének most azonnal?

A felhőtárolást kezelő szervezetek számára a legsürgősebb lépés a jogosultságok ellenőrzése. Minden tárolóbucketet felül kell vizsgálni, hogy megbizonyosodjanak arról, nincs nyilvános hozzáférésre állítva, kivéve, ha annak szándékos, dokumentált oka van. A nagyobb felhőszolgáltatók, köztük az AWS, a Google Cloud és az Azure, mind kínálnak eszközöket a túlságosan engedékeny hozzáférés-szabályozással rendelkező bucketek azonosítására, és néhányuk már fiókszintű beállításokat is biztosít a nyilvános hozzáférés alapértelmezett letiltásához.

A jogosultságokon túl a hitelesítő adatok higiéniája is rendkívül fontos. A hitelesítő és kulcsfájlokat semmilyen körülmények között nem szabadna felhőtároló bucketben tárolni. Léteznek titokkezelő eszközök, amelyeket kifejezetten API-kulcsok, tokenek és hitelesítő adatok biztonságos kezelésére terveztek, teljesen távol tartva őket a fájltárolástól.

Az egyének számára a kockázat kevésbé arról szól, amit ők irányítanak, és inkább arról, amit az adataikat kezelő szervezetek. A gyakorlati lépések ismerősek: használjunk egyedi, erős jelszavakat minden fiókhoz, hogy egy szolgáltatásból származó hitelesítőadat-dump ne tegye lehetővé a többi feltörését, kapcsoljuk be a többtényezős hitelesítést, ahol csak elérhető, és figyeljük a fiókokat szokatlan tevékenységre.

A Mysterium VPN megállapításai emlékeztetnek arra, hogy a legjelentősebb adatbiztonsági kockázatok némelyike egyáltalán nem jár kifinomult támadásokkal. Csupán hétköznapi adminisztratív figyelmetlenségekről van szó, amelyek hónapokig vagy évekig észrevétlenek maradnak. A felhőtárolás higiéniájának ellenőrzése nem látványos munka, de a jelentésben leírt mérték alapján ez az egyik legfontosabb biztonsági feladat, amit egy szervezet jelenleg elvégezhet.