Quanti file sono esposti in questi bucket di archiviazione cloud aperti?

Attualmente ci sono 19,6 miliardi di file accessibili liberamente su internet in oltre 535.000 bucket di archiviazione cloud mal configurati.

Cosa rende i file di credenziali e chiavi il tipo di dato esposto più pericoloso?

Questi file spesso contengono chiavi API, password e token di accesso che consentono agli aggressori di autenticarsi direttamente sui sistemi protetti senza dover ricorrere a tecniche di hacking sofisticate, potenzialmente garantendo accesso a database, infrastrutture cloud e reti interne.

Perché questi bucket di archiviazione cloud sono accessibili pubblicamente in primo luogo?

Restano aperti a causa di impostazioni di archiviazione cloud errate, spesso dovute a impostazioni predefinite, distribuzioni affrettate o lacune nella conoscenza della sicurezza cloud, e le organizzazioni responsabili potrebbero non rendersi nemmeno conto che i propri dati sono esposti.

Quale altro tipo di dato sensibile, oltre alle credenziali, è stato evidenziato come un grave rischio nel rapporto?

I dump di database sono stati segnalati come un rischio distinto ma altrettanto grave, contenendo spesso registrazioni di utenti, password, informazioni personali e dati sulle transazioni.

19,6 miliardi di file esposti in 535.000 bucket cloud aperti

Q: Si è verificata di recente un'esposizione su larga scala simile dovuta a una singola configurazione errata?

Sì, un cruscotto di analisi mal configurato presso FTF Live ha recentemente esposto oltre 22 milioni di registrazioni di sessioni di chat video, mostrando come una singola svista possa far trapelare enormi volumi di dati sensibili.

19,6 miliardi di file esposti in 535.000 bucket cloud aperti

Un nuovo rapporto di Mysterium VPN ha messo in luce una cifra sbalorditiva su un problema di cui i ricercatori di sicurezza avvertono da anni: 19,6 miliardi di file sono attualmente accessibili liberamente su internet, archiviati in oltre 535.000 bucket di archiviazione cloud mal configurati che non richiedono password, autenticazione né alcuna competenza di hacking per essere consultati. Tra quei file ci sono quasi 700.000 file di credenziali e chiavi che potrebbero dare a un aggressore accesso diretto a sistemi attivi, database e infrastrutture interne.

Non si tratta di una violazione nel senso tradizionale. Nessuno ha dovuto sfruttare una vulnerabilità o intercettare il traffico di rete. I dati sono semplicemente aperti, conseguenza di configurazioni di archiviazione cloud impostate in modo errato e lasciate tali.

Portata dell'esposizione: 19,6 miliardi di file, zero password

L'enorme volume di dati esposti è difficile da contestualizzare. Con 19,6 miliardi di file distribuiti su oltre mezzo milione di bucket di archiviazione, questa rappresenta una delle più grandi esposizioni documentate di bucket cloud mal configurati mai catalogate. Questi bucket coprono piattaforme cloud in cui organizzazioni di ogni dimensione, dai singoli sviluppatori alle grandi imprese, archiviano dati applicativi, backup, log e record sensibili.

Lo storage cloud mal configurato non è un problema nuovo, ma la portata qui riportata suggerisce che sia tutt'altro che risolto. Impostazioni predefinite, distribuzioni affrettate e lacune nelle conoscenze sulla sicurezza del cloud contribuiscono a lasciare i bucket pubblicamente leggibili. In molti casi, le organizzazioni responsabili potrebbero non sapere nemmeno che i propri dati siano esposti.

Questo rispecchia schemi osservati in altri incidenti di alto profilo. Un cruscotto di analisi mal configurato presso FTF Live ha recentemente lasciato apertamente accessibili oltre 22 milioni di registrazioni di sessioni di chat video, mostrando come una singola svista infrastrutturale possa esporre dati sensibili su vasta scala senza alcun attacco attivo in corso.

Perché i file di credenziali e chiavi rappresentano la fuga di dati più pericolosa

Dei 19,6 miliardi di file esposti, i quasi 700.000 file di credenziali e chiavi rappresentano la categoria a più alto rischio, con un ampio margine. Questi file contengono spesso chiavi API, password di database, chiavi crittografiche private, credenziali SSH e token di accesso ai provider cloud.

Quando un aggressore trova un file di credenziali in un bucket aperto, non ha bisogno di compiere nulla di tecnicamente sofisticato. Può prendere quelle credenziali e autenticarsi direttamente nei sistemi che proteggono. Ciò potrebbe significare accesso in lettura e scrittura a un database di produzione, la possibilità di attivare infrastrutture cloud sul conto di qualcun altro o l'ingresso in sistemi interni che altrimenti sarebbero completamente off-limits.

I dump di database presentano un rischio distinto ma altrettanto grave. Questi file contengono spesso registrazioni di utenti, password in chiaro o hashate, informazioni personali e dati sulle transazioni. Un dump di database proveniente da un fornitore di servizi sanitari, una piattaforma finanziaria o un sito di e-commerce può contenere tutto ciò di cui un aggressore ha bisogno per furto d'identità, acquisizione di account o estorsione.

Come le errate configurazioni cloud aggirano persino le reti protette da VPN

Uno degli aspetti più controintuitivi di questo tipo di esposizione è che elude molti dei controlli di sicurezza su cui le organizzazioni fanno affidamento. VPN, firewall e controlli di accesso alla rete sono progettati per proteggere il traffico che si sposta tra i sistemi. Ma quando i dati sono archiviati in un bucket cloud pubblico, non transitano affatto attraverso quelle reti protette. Si trovano in una posizione raggiungibile da chiunque disponga di una connessione a Internet.

Ciò significa che un aggressore in un altro paese, senza alcun accesso alla rete aziendale e senza la capacità di aggirare un firewall, può comunque recuperare il contenuto di un bucket esposto navigando direttamente al suo URL pubblico. I dati esistono, di fatto, al di fuori del perimetro che la maggior parte degli strumenti di sicurezza organizzativa sono progettati per difendere.

Ecco perché l'esposizione di bucket di archiviazione cloud mal configurati è diventata una delle strade più efficienti per la raccolta di dati da parte degli attori delle minacce. Non c'è alcun attacco da rilevare, nessun traffico anomalo da segnalare e nessuna intrusione da indagare. Dal punto di vista dell'infrastruttura, chi legge un bucket aperto appare identico al traffico di routine.

Cosa possono fare subito organizzazioni e individui

Per le organizzazioni che gestiscono archiviazione cloud, il passo più urgente è un audit dei permessi. Ogni bucket di archiviazione dovrebbe essere rivisto per confermare che non sia impostato per l'accesso pubblico, a meno che non esista una ragione deliberata e documentata. I principali provider cloud, tra cui AWS, Google Cloud e Azure, offrono tutti strumenti per identificare i bucket con controlli di accesso eccessivamente permissivi, e alcuni ora forniscono impostazioni a livello di account per bloccare tutto l'accesso pubblico per impostazione predefinita.

Oltre ai permessi, l'igiene delle credenziali conta enormemente. I file di credenziali e chiavi non dovrebbero mai essere archiviati in bucket di archiviazione cloud, in nessuna circostanza. Esistono strumenti di gestione dei segreti progettati specificamente per gestire in modo sicuro chiavi API, token e credenziali, tenendoli completamente fuori dall'archiviazione di file.

Per gli individui, il rischio riguarda meno ciò che si controlla e più ciò che controllano le organizzazioni che detengono i propri dati. I passi pratici sono quelli noti: usare password uniche e robuste per ogni account, in modo che un dump di credenziali da un servizio non possa sbloccarne altri; attivare l'autenticazione a più fattori ovunque sia offerta; e monitorare gli account per attività insolite.

I risultati di Mysterium VPN ricordano che alcuni dei rischi più significativi per la sicurezza dei dati non coinvolgono affatto attacchi sofisticati. Coinvolgono semplici sviste amministrative che rimangono incontrollate per mesi o anni. Verificare l'igiene dell'archiviazione cloud non è un lavoro affascinante, ma sulla scala descritta da questo rapporto, è uno dei lavori di sicurezza più importanti che un'organizzazione possa svolgere in questo momento.

19,6 miliardi di file esposti in 535.000 bucket cloud aperti

Portata dell'esposizione: 19,6 miliardi di file, zero password

Perché i file di credenziali e chiavi rappresentano la fuga di dati più pericolosa

Come le errate configurazioni cloud aggirano persino le reti protette da VPN

Cosa possono fare subito organizzazioni e individui

// FAQ

// Correlati