Hvor mange filer er eksponert i disse åpne skylagringsbøttene?

Det er for tiden 19,6 milliarder filer som ligger fritt tilgjengelig på internett spredt over mer enn 535 000 feilkonfigurerte skylagringsbøtter.

Hva gjør legitimasjons- og nøkkelfiler til den farligste typen eksponerte data?

Disse filene inneholder ofte API-nøkler, passord og tilgangstokener som lar angripere autentisere seg direkte mot beskyttede systemer uten sofistikert hacking, og potensielt gi tilgang til databaser, skyinfrastruktur og interne nettverk.

Hvorfor er disse skylagringsbøttene offentlig tilgjengelige i utgangspunktet?

De er åpne på grunn av feilkonfigurerte skylagringsinnstillinger, ofte forårsaket av standardinnstillinger, forhastede distribusjoner eller hull i skysikkerhetskunnskap, og de ansvarlige organisasjonene vet kanskje ikke engang at dataene deres er eksponert.

Hvilken annen type sensitive data, foruten legitimasjon, ble fremhevet som en alvorlig risiko i rapporten?

Databasedumper ble nevnt som en separat, men like alvorlig risiko, og inneholder ofte brukerposter, passord, personlig informasjon og transaksjonsdata.

Har en lignende storskala eksponering fra en enkelt feilkonfigurasjon skjedd nylig?

Ja, et feilkonfigurert analysedashbord hos FTF Live eksponerte nylig over 22 millioner opptak av videochatsamtaler, noe som viser hvordan en enkelt forglemmelse kan lekke massive mengder sensitive data.

19,6 milliarder filer eksponert i 535 000 åpne skylagringsbøtter

En ny rapport fra Mysterium VPN setter et svimlende tall på et problem sikkerhetsforskere har advart mot i årevis: 19,6 milliarder filer ligger fritt tilgjengelig på internett akkurat nå, lagret i mer enn 535 000 feilkonfigurerte skylagringsbøtter som ikke krever passord, ingen autentisering og ingen hackeferdigheter for å få tilgang til. Blant disse filene er nesten 700 000 legitimasjons- og nøkkelfiler som kan gi en angriper direkte tilgang til aktive systemer, databaser og intern infrastruktur.

Dette er ikke et datainnbrudd i tradisjonell forstand. Ingen trengte å utnytte et sårbarhet eller avskjære nettverkstrafikk. Dataene er rett og slett åpne, som følge av feilkonfigurerte skylagringsinnstillinger som har blitt satt feil og forblitt slik.

Eksponeringens omfang: 19,6 milliarder filer, null passord

Det er vanskelig å sette det enorme volumet av eksponerte data i perspektiv. Med 19,6 milliarder filer spredt over mer enn en halv million lagringsbøtter, representerer dette et av de største dokumenterte tilfellene av feilkonfigurert skylagringseksponering som noen gang er kartlagt. Disse bøttene finnes på skyplattformer der organisasjoner i alle størrelser, fra enkeltutviklere til store foretak, lagrer applikasjonsdata, sikkerhetskopier, logger og sensitive opplysninger.

Feilkonfigurert skylagring er ikke noe nytt problem, men omfanget som rapporteres her tyder på at det langt fra er løst. Standardinnstillinger, forhastede distribusjoner og hull i skysikkerhetskunnskap bidrar alle til at bøtter blir liggende offentlig lesbare. Ofte er organisasjonene som er ansvarlige, kanskje ikke engang klar over at dataene deres er eksponert.

Dette speiler mønstre sett i andre høyprofilerte hendelser. Et feilkonfigurert analysedashbord hos FTF Live gjorde nylig over 22 millioner opptak av videochatsamtaler åpent tilgjengelige, noe som illustrerer hvordan en enkelt infrastrukturoverskridelse kan eksponere sensitive data i massiv skala uten at et aktivt angrep finner sted.

Hvorfor legitimasjons- og nøkkelfiler er den farligste lekkasjen

Av de 19,6 milliarder eksponerte filene utgjør de nesten 700 000 legitimasjons- og nøkkelfilene den høyeste risikokategorien med god margin. Disse filene inneholder ofte API-nøkler, databasepassord, private kryptografiske nøkler, SSH-legitimasjon og tilgangstokener for skyleverandører.

Når en angriper finner en legitimasjonsfil i en åpen bøtte, trenger de ikke gjøre noe teknisk sofistikert videre. De kan ta denne legitimasjonen og autentisere seg direkte mot systemene de beskytter. Det kan bety lese- og skrivetilgang til en produksjonsdatabase, muligheten til å spinne opp skyinfrastruktur på en annens konto, eller inngang til interne systemer som ellers ville vært fullstendig utilgjengelige.

Databasedumper utgjør en separat, men like alvorlig risiko. Disse filene inneholder ofte brukerposter, hashede eller klartekstpassord, personlig informasjon og transaksjonsdata. En databasedump fra en helseleverandør, en finansplattform eller et netthandelsnettsted kan inneholde alt en angriper trenger for å bedrive identitetstyveri, kontoovertakelse eller utpressing.

Hvordan sky-feilkonfigurasjoner omgår selv VPN-beskyttede nettverk

Et av de mer kontraintuitive aspektene ved denne typen eksponering er at den omgår mange av sikkerhetskontrollene organisasjoner stoler på. VPN-er, brannmurer og nettverkstilgangskontroller er utformet for å beskytte trafikk som beveger seg mellom systemer. Men når data er lagret i en offentlig skylagringsbøtte, går de ikke gjennom disse beskyttede nettverkene i det hele tatt. De ligger på et sted alle med internett-tilkobling kan nå.

Dette betyr at en angriper i et annet land, uten tilgang til et bedriftsnettverk og uten mulighet til å omgå en brannmur, likevel kan hente innholdet i en eksponert bøtte ved å navigere direkte til den offentlige URL-en. Dataene eksisterer i praksis utenfor den perimetersikringen de fleste organisatoriske sikkerhetsverktøy er utformet for å forsvare.

Dette er grunnen til at feilkonfigurert skylagringseksponering har blitt en av de mest effektive veiene for datainnsamling av trusselaktører. Det er ingen angrep å oppdage, ingen uvanlig trafikk å flagge, og ingen inntrengning å etterforske. Fra infrastrukturens perspektiv ser noen som leser en åpen bøtte, identisk ut med rutinemessig trafikk.

Hva organisasjoner og enkeltpersoner kan gjøre nå

For organisasjoner som administrerer skylagring, er det mest presserende trinnet en rettighetsgjennomgang. Hver lagringsbøtte bør gjennomgås for å bekrefte at den ikke er satt til offentlig tilgang med mindre det finnes en bevisst, dokumentert grunn til det. Store skyleverandører som AWS, Google Cloud og Azure tilbyr alle verktøy for å identifisere bøtter med for vid adgangskontroll, og noen tilbyr nå kontoinnstillinger for å blokkere all offentlig tilgang som standard.

Utover rettigheter er legitimasjonshygiene enormt viktig. Legitimasjons- og nøkkelfiler bør aldri under noen omstendighet lagres i skylagringsbøtter. Verktøy for hemmelighåndtering finnes nettopp for å håndtere API-nøkler, tokener og legitimasjon sikkert, og holde dem helt ute av fillagring.

For enkeltpersoner handler risikoen mindre om hva du kontrollerer og mer om hva organisasjonene som oppbevarer dataene dine, kontrollerer. De praktiske trinnene er velkjente: bruk unike, sterke passord for hver konto slik at en legitimasjonsdump fra én tjeneste ikke kan låse opp andre, aktiver tofaktorautentisering der det tilbys, og overvåk kontoer for uvanlig aktivitet.

Mysterium VPNs funn er en påminnelse om at noen av de mest betydningsfulle datasikkerhetsrisikoene overhodet ikke innebærer sofistikerte angrep. De innebærer alminnelige administrative forglemmelser som forblir ukontrollert i måneder eller år. Å revidere skylagringshygiene er ikke glamorøst arbeid, men i det omfanget denne rapporten beskriver, er det noe av det mest avgjørende sikkerhetsarbeidet en organisasjon kan gjøre akkurat nå.