Berapa banyak file yang terpapar dalam bucket penyimpanan cloud terbuka ini?

Saat ini ada 19,6 miliar file yang tersimpan secara terbuka dan dapat diakses di internet di lebih dari 535.000 bucket penyimpanan cloud yang salah konfigurasi.

Apa yang membuat file kredensial dan kunci menjadi jenis data terpapar yang paling berbahaya?

File-file ini sering kali berisi kunci API, kata sandi, dan token akses yang memungkinkan penyerang mengautentikasi langsung ke sistem yang dilindungi tanpa peretasan canggih, berpotensi memberikan akses ke database, infrastruktur cloud, dan jaringan internal.

Mengapa bucket penyimpanan cloud ini dapat diakses secara publik pada awalnya?

Bucket-bucket ini dibiarkan terbuka karena pengaturan penyimpanan cloud yang salah konfigurasi, sering kali disebabkan oleh pengaturan default, penerapan yang terburu-buru, atau kesenjangan pengetahuan keamanan cloud, dan organisasi yang bertanggung jawab mungkin bahkan tidak menyadari bahwa data mereka terekspos.

Jenis data sensitif apa lagi, selain kredensial, yang disorot sebagai risiko serius dalam laporan tersebut?

Dump database dicatat sebagai risiko terpisah namun sama seriusnya, sering kali berisi catatan pengguna, kata sandi, informasi pribadi, dan data transaksi.

Apakah paparan skala besar serupa dari satu kesalahan konfigurasi pernah terjadi baru-baru ini?

Ya, dasbor analitik yang salah konfigurasi di FTF Live baru-baru ini mengekspos lebih dari 22 juta rekaman sesi obrolan video, menunjukkan bagaimana satu kelalaian dapat membocorkan volume data sensitif yang sangat besar.

19,6 Miliar File Terpapar di 535.000 Bucket Cloud Terbuka

Laporan baru dari Mysterium VPN mengungkapkan angka yang mengejutkan tentang masalah yang telah diperingatkan oleh para peneliti keamanan selama bertahun-tahun: 19,6 miliar file saat ini tersimpan secara terbuka dan dapat diakses di internet, disimpan di lebih dari 535.000 bucket penyimpanan cloud yang salah konfigurasi, yang tidak memerlukan kata sandi, autentikasi, atau keahlian peretasan untuk mengaksesnya. Di antara file-file tersebut terdapat hampir 700.000 file kredensial dan kunci yang dapat memberi penyerang akses langsung ke sistem yang berjalan, database, dan infrastruktur internal.

Ini bukanlah pelanggaran dalam arti tradisional. Tidak ada yang perlu mengeksploitasi kerentanan atau mencegat lalu lintas jaringan. Data tersebut terbuka begitu saja, akibat konfigurasi penyimpanan cloud yang diatur secara tidak benar, dan dibiarkan seperti itu.

Skala Paparan: 19,6 Miliar File, Tanpa Kata Sandi

Volume data yang terpapar sangat sulit untuk dikontekstualisasikan. Dengan 19,6 miliar file yang tersebar di lebih dari setengah juta bucket penyimpanan, ini merupakan salah satu kasus paparan bucket penyimpanan cloud yang salah konfigurasi terbesar yang pernah didokumentasikan. Bucket-bucket ini mencakup platform cloud tempat organisasi dari setiap ukuran, mulai dari pengembang tunggal hingga perusahaan besar, menyimpan data aplikasi, cadangan, log, dan catatan sensitif.

Penyimpanan cloud yang salah konfigurasi bukanlah masalah baru, tetapi skala yang dilaporkan di sini menunjukkan bahwa masalah ini masih jauh dari terselesaikan. Pengaturan default, penerapan yang terburu-buru, dan kesenjangan pengetahuan keamanan cloud, semuanya berkontribusi pada bucket yang dibiarkan dapat dibaca secara publik. Dalam banyak kasus, organisasi yang bertanggung jawab mungkin bahkan tidak mengetahui bahwa data mereka terekspos.

Ini mencerminkan pola yang terlihat dalam insiden-insiden besar lainnya. Sebuah dasbor analitik yang salah konfigurasi di FTF Live baru-baru ini membiarkan lebih dari 22 juta rekaman sesi obrolan video dapat diakses secara terbuka, menggambarkan bagaimana satu kelalaian infrastruktur dapat mengekspos data sensitif dalam skala besar tanpa adanya serangan aktif.

Mengapa File Kredensial dan Kunci Menjadi Kebocoran Paling Berbahaya

Dari 19,6 miliar file yang terpapar, hampir 700.000 file kredensial dan kunci mewakili kategori risiko tertinggi dengan selisih yang besar. File-file ini sering kali berisi kunci API, kata sandi database, kunci kriptografi pribadi, kredensial SSH, dan token akses penyedia cloud.

Ketika seorang penyerang menemukan file kredensial di bucket terbuka, mereka tidak perlu melakukan sesuatu yang canggih secara teknis selanjutnya. Mereka dapat mengambil kredensial tersebut dan mengautentikasi langsung ke sistem yang dilindunginya. Itu bisa berarti akses baca dan tulis ke database produksi, kemampuan untuk menjalankan infrastruktur cloud pada akun orang lain, atau masuk ke sistem internal yang seharusnya benar-benar terlarang.

Dump database menghadirkan risiko yang terpisah namun sama seriusnya. File-file ini sering berisi catatan pengguna, kata sandi yang di-hash atau teks biasa, informasi pribadi, dan data transaksi. Sebuah dump database dari penyedia layanan kesehatan, platform keuangan, atau situs e-commerce dapat berisi semua yang dibutuhkan penyerang untuk melakukan pencurian identitas, pengambilalihan akun, atau pemerasan.

Bagaimana Kesalahan Konfigurasi Cloud Melewati Jaringan yang Dilindungi VPN Sekalipun

Salah satu aspek yang lebih kontraintuitif dari jenis paparan ini adalah bahwa ia menghindari banyak kontrol keamanan yang diandalkan organisasi. VPN, firewall, dan kontrol akses jaringan dirancang untuk melindungi lalu lintas yang bergerak antar sistem. Tetapi ketika data disimpan di bucket cloud publik, data tersebut sama sekali tidak melewati jaringan-jaringan yang dilindungi itu. Data tersebut berada di lokasi yang dapat dijangkau oleh siapa pun yang memiliki koneksi internet.

Ini berarti seorang penyerang di negara lain, tanpa akses ke jaringan perusahaan dan tanpa kemampuan untuk melewati firewall, masih dapat mengambil isi bucket yang terpapar dengan langsung mengarahkan ke URL publiknya. Data tersebut secara efektif berada di luar perimeter yang dirancang untuk dipertahankan oleh sebagian besar alat keamanan organisasi.

Inilah sebabnya mengapa paparan bucket penyimpanan cloud yang salah konfigurasi telah menjadi salah satu jalur paling efisien untuk pengumpulan data oleh pelaku ancaman. Tidak ada serangan yang perlu dideteksi, tidak ada lalu lintas yang mencurigakan untuk ditandai, dan tidak ada intrusi yang perlu diselidiki. Dari sudut pandang infrastruktur, seseorang yang membaca bucket terbuka tampak identik dengan lalu lintas rutin.

Apa yang Dapat Dilakukan Organisasi dan Individu Saat Ini

Bagi organisasi yang mengelola penyimpanan cloud, langkah paling mendesak adalah audit izin. Setiap bucket penyimpanan harus ditinjau untuk memastikan tidak diatur ke akses publik kecuali ada alasan yang disengaja dan didokumentasikan untuk itu. Penyedia cloud utama termasuk AWS, Google Cloud, dan Azure semuanya menawarkan alat untuk mengidentifikasi bucket dengan kontrol akses yang terlalu permisif, dan beberapa di antaranya kini menyediakan pengaturan tingkat akun untuk memblokir semua akses publik secara default.

Selain izin, kebersihan kredensial sangat penting. File kredensial dan kunci tidak boleh disimpan di bucket penyimpanan cloud dalam keadaan apa pun. Alat manajemen rahasia tersedia secara khusus untuk menangani kunci API, token, dan kredensial dengan aman, menjauhkannya sepenuhnya dari penyimpanan file.

Bagi individu, risikonya bukan tentang apa yang Anda kendalikan, melainkan tentang apa yang dikendalikan oleh organisasi yang menyimpan data Anda. Langkah-langkah praktisnya sudah dikenal: gunakan kata sandi yang unik dan kuat untuk setiap akun sehingga pembuangan kredensial dari satu layanan tidak dapat membuka yang lain, aktifkan autentikasi multi-faktor di mana pun tersedia, dan pantau akun untuk aktivitas yang tidak biasa.

Temuan Mysterium VPN adalah pengingat bahwa beberapa risiko keamanan data yang paling signifikan tidak melibatkan serangan canggih sama sekali. Risiko tersebut melibatkan kelalaian administratif biasa yang tidak diperiksa selama berbulan-bulan atau bertahun-tahun. Mengaudit kebersihan penyimpanan cloud bukanlah pekerjaan yang glamor, tetapi pada skala yang dijelaskan laporan ini, ini adalah beberapa pekerjaan keamanan paling penting yang dapat dilakukan organisasi saat ini.