Hoeveel bestanden staan er bloot in deze open cloudopslagbuckets?

Er zijn momenteel 19,6 miljard bestanden openlijk toegankelijk op internet, verspreid over meer dan 535.000 verkeerd geconfigureerde cloudopslagbuckets.

Wat maakt credential- en sleutelbestanden het gevaarlijkste type blootgestelde gegevens?

Deze bestanden bevatten vaak API-sleutels, wachtwoorden en toegangstokens waarmee aanvallers zich rechtstreeks kunnen authenticeren op beveiligde systemen zonder geavanceerd hackwerk, waardoor ze mogelijk toegang krijgen tot databases, cloudinfrastructuur en interne netwerken.

Waarom zijn deze cloudopslagbuckets in de eerste plaats openbaar toegankelijk?

Ze staan open door verkeerd geconfigureerde cloudopslaginstellingen, vaak veroorzaakt door standaardinstellingen, gehaaste implementaties of lacunes in cloudbeveiligingskennis. De verantwoordelijke organisaties realiseren zich mogelijk niet eens dat hun gegevens blootstaan.

Welk ander type gevoelige gegevens werd, naast credentials, in het rapport als een ernstig risico genoemd?

Databasedumps werden genoemd als een apart maar even ernstig risico; ze bevatten vaak gebruikersrecords, wachtwoorden, persoonlijke informatie en transactiegegevens.

Is er onlangs een vergelijkbare grootschalige blootstelling door één configuratiefout geweest?

Ja, een verkeerd geconfigureerd analytics-dashboard bij FTF Live stelde onlangs meer dan 22 miljoen videobel-sessiegegevens bloot, wat aantoont hoe één enkele over het hoofd geziene instelling enorme hoeveelheden gevoelige gegevens kan laten uitlekken.

19,6 miljard bestanden blootgelegd in 535.000 open cloudopslagbuckets

Een nieuw rapport van Mysterium VPN legt een duizelingwekkend aantal vast voor een probleem waar beveiligingsonderzoekers al jaren voor waarschuwen: 19,6 miljard bestanden zijn op dit moment openlijk toegankelijk op internet, opgeslagen in meer dan 535.000 verkeerd geconfigureerde cloudopslagbuckets waarvoor geen wachtwoord, geen authenticatie en geen hackvaardigheden nodig zijn om ze te benaderen. Onder die bestanden bevinden zich bijna 700.000 credential- en sleutelbestanden die een aanvaller rechtstreeks toegang kunnen geven tot live systemen, databases en interne infrastructuur.

Dit is geen datalek in de traditionele zin. Niemand hoefde een kwetsbaarheid te misbruiken of netwerkverkeer te onderscheppen. De gegevens staan simpelweg open, als gevolg van cloudopslagconfiguraties die onjuist zijn ingesteld en zo zijn gelaten.

Schaal van de blootstelling: 19,6 miljard bestanden, nul wachtwoorden

De enorme hoeveelheid blootgestelde gegevens is moeilijk in context te plaatsen. Met 19,6 miljard bestanden verspreid over meer dan een half miljoen opslagbuckets is dit een van de grootste gedocumenteerde gevallen van blootstelling door verkeerd geconfigureerde cloudopslagbuckets ooit vastgelegd. Deze buckets bestrijken cloudplatforms waar organisaties van elke omvang, van solo-ontwikkelaars tot grote ondernemingen, applicatiedata, back-ups, logs en gevoelige dossiers opslaan.

Verkeerd geconfigureerde cloudopslag is geen nieuw probleem, maar de gerapporteerde schaal suggereert dat het verre van opgelost is. Standaardinstellingen, gehaaste implementaties en lacunes in cloudbeveiligingskennis dragen er allemaal aan bij dat buckets openbaar leesbaar blijven. In veel gevallen weten de verantwoordelijke organisaties misschien niet eens dat hun gegevens blootstaan.

Dit weerspiegelt patronen die bij andere spraakmakende incidenten zijn waargenomen. Een verkeerd geconfigureerd analytics-dashboard bij FTF Live liet onlangs meer dan 22 miljoen videobel-sessiegegevens openlijk toegankelijk, wat illustreert hoe één over het hoofd geziene infrastructuurinstelling gevoelige gegevens op enorme schaal kan blootstellen zonder dat er een actieve aanval plaatsvindt.

Waarom credential- en sleutelbestanden het gevaarlijkste lek zijn

Van de 19,6 miljard blootgestelde bestanden vormen de bijna 700.000 credential- en sleutelbestanden met afstand de categorie met het hoogste risico. Deze bestanden bevatten vaak API-sleutels, databasewachtwoorden, privé-cryptografische sleutels, SSH-inloggegevens en toegangstokens voor cloudproviders.

Wanneer een aanvaller een credentialbestand in een open bucket vindt, hoeft hij vervolgens niets technisch geavanceerds te doen. Hij kan die inloggegevens gebruiken om zich rechtstreeks te authenticeren op de systemen die ze beschermen. Dat kan lees- en schrijftoegang tot een productiedatabase betekenen, de mogelijkheid om cloudinfrastructuur op te starten op andermans account, of toegang tot interne systemen die anders volledig ontoegankelijk zouden zijn.

Databasedumps vormen een apart maar even ernstig risico. Deze bestanden bevatten vaak gebruikersrecords, gehashte of platte wachtwoorden, persoonlijke informatie en transactiegegevens. Een databasedump van een zorgverlener, een financieel platform of een e-commercesite kan alles bevatten wat een aanvaller nodig heeft voor identiteitsdiefstal, accountovername of afpersing.

Hoe cloudverkeerde configuraties zelfs VPN-beveiligde netwerken omzeilen

Een van de meer contra-intuïtieve aspecten van dit soort blootstelling is dat het veel van de beveiligingsmaatregelen waar organisaties op vertrouwen, omzeilt. VPN’s, firewalls en netwerktoegangscontroles zijn ontworpen om verkeer tussen systemen te beschermen. Maar wanneer gegevens in een openbare cloudbucket worden opgeslagen, bewegen ze zich helemaal niet door die beschermde netwerken. Ze bevinden zich op een locatie die iedereen met een internetverbinding kan bereiken.

Dit betekent dat een aanvaller in een ander land, zonder toegang tot een bedrijfsnetwerk en zonder de mogelijkheid om een firewall te omzeilen, toch de inhoud van een blootgestelde bucket kan ophalen door rechtstreeks naar de openbare URL te navigeren. De gegevens bevinden zich feitelijk buiten de perimeter die de meeste organisatorische beveiligingstools moeten verdedigen.

Daarom is blootstelling door verkeerd geconfigureerde cloudopslag een van de meest efficiënte manieren geworden voor kwaadwillenden om data te verzamelen. Er is geen aanval te detecteren, geen ongewoon verkeer te signaleren en geen inbraak te onderzoeken. Vanuit het perspectief van de infrastructuur ziet het lezen van een open bucket er exact hetzelfde uit als routinematig verkeer.

Wat organisaties en individuen nu kunnen doen

Voor organisaties die cloudopslag beheren, is de meest urgente stap een permissie-audit. Elke opslagbucket moet worden gecontroleerd om te bevestigen dat deze niet op openbare toegang is ingesteld, tenzij daar een weloverwogen, gedocumenteerde reden voor is. Grote cloudproviders zoals AWS, Google Cloud en Azure bieden allemaal tools om buckets met te ruime toegangsinstellingen te identificeren, en sommigen bieden nu instellingen op accountniveau om standaard alle openbare toegang te blokkeren.

Naast permissies is credential-hygiëne van enorm belang. Credential- en sleutelbestanden mogen onder geen beding in cloudopslagbuckets worden bewaard. Er bestaan secretmanagementtools specifiek om API-sleutels, tokens en inloggegevens veilig te beheren, volledig buiten bestandsopslag.

Voor individuen draait het risico minder om wat u zelf beheert en meer om wat organisaties die uw gegevens bewaren, beheren. De praktische stappen zijn bekend: gebruik unieke, sterke wachtwoorden voor elk account zodat een credentialdump van de ene dienst geen andere kan ontgrendelen, schakel multi-factorauthenticatie in waar beschikbaar, en houd accounts in de gaten op ongebruikelijke activiteit.

De bevindingen van Mysterium VPN herinneren ons eraan dat sommige van de grootste gegevensbeveiligingsrisico’s helemaal geen geavanceerde aanvallen omvatten. Het gaat om gewone administratieve onoplettendheden die maanden- of jarenlang onopgemerkt blijven. Het controleren van cloudopslaghygiëne is geen glamoureus werk, maar op de schaal die dit rapport beschrijft, is het een van de meest consequente beveiligingswerkzaamheden die een organisatie nu kan uitvoeren.