19,6 miliarda plików ujawnionych w 535 000 otwartych zasobnikach chmurowych

19,6 miliarda plików ujawnionych w 535 000 otwartych zasobnikach chmurowych

Nowy raport Mysterium VPN ujawnia oszałamiającą skalę problemu, przed którym badacze bezpieczeństwa ostrzegają od lat: 19,6 miliarda plików jest obecnie publicznie dostępnych w internecie, przechowywanych w ponad 535 000 źle skonfigurowanych zasobników chmurowych, które nie wymagają hasła, uwierzytelnienia ani żadnych umiejętności hakerskich. Wśród nich znajduje się blisko 700 000 plików z danymi uwierzytelniającymi i kluczami, które mogłyby dać atakującemu bezpośredni dostęp do działających systemów, baz danych i wewnętrznej infrastruktury.

Nie jest to wyciek danych w tradycyjnym rozumieniu. Nikt nie musiał wykorzystywać podatności ani przechwytywać ruchu sieciowego. Dane są po prostu otwarte – to konsekwencja błędnie ustawionych konfiguracji magazynów chmurowych, które pozostały w takim stanie.

Skala zjawiska: 19,6 miliarda plików, zero haseł

Trudno jest osadzić w kontekście samą ilość ujawnionych danych. 19,6 miliarda plików rozproszonych w ponad pół miliona zasobników to jeden z największych udokumentowanych przypadków ujawnienia danych przez źle skonfigurowane magazyny chmurowe, jakie kiedykolwiek odnotowano. Zasobniki te znajdują się na platformach, na których organizacje każdej wielkości – od pojedynczych programistów po duże przedsiębiorstwa – przechowują dane aplikacji, kopie zapasowe, logi i wrażliwe rekordy.

Źle skonfigurowane magazyny chmurowe nie są nowym problemem, ale skala opisana w raporcie sugeruje, że daleko mu do rozwiązania. Domyślne ustawienia, pospieszne wdrożenia i luki w wiedzy o bezpieczeństwie chmury sprawiają, że zasobniki są pozostawiane z dostępem publicznym. W wielu przypadkach odpowiedzialne organizacje mogą nawet nie wiedzieć, że ich dane są ujawnione.

Ten schemat przypomina inne głośne incydenty. Źle skonfigurowany panel analityczny w FTF Live niedawno udostępnił ponad 22 miliony zapisów sesji wideorozmów, pokazując, jak pojedyncze przeoczenie w infrastrukturze może na ogromną skalę ujawnić wrażliwe dane bez żadnego aktywnego ataku.

Dlaczego pliki z danymi uwierzytelniającymi i kluczami są najgroźniejszym przeciekiem

Spośród 19,6 miliarda ujawnionych plików blisko 700 000 plików z danymi uwierzytelniającymi i kluczami stanowi zdecydowanie najwyższą kategorię ryzyka. Pliki te często zawierają klucze API, hasła do baz danych, prywatne klucze kryptograficzne, dane logowania SSH i tokeny dostępu do dostawców chmury.

Gdy atakujący znajdzie plik z danymi uwierzytelniającymi w otwartym zasobniku, nie musi już wykonywać żadnych technicznie skomplikowanych działań. Może wykorzystać te dane, by uwierzytelnić się bezpośrednio w systemach, które chronią. To może oznaczać dostęp do odczytu i zapisu produkcyjnej bazy danych, możliwość uruchamiania infrastruktury chmurowej na cudzym koncie albo wejście do wewnętrznych systemów, które normalnie byłyby całkowicie niedostępne.

Zrzuty baz danych stanowią osobne, ale równie poważne ryzyko. Pliki te często zawierają rekordy użytkowników, zahaszowane lub zapisane jawnie hasła, dane osobowe i transakcyjne. Zrzut bazy danych od dostawcy usług medycznych, platformy finansowej lub sklepu internetowego może zawierać wszystko, czego potrzebuje atakujący do kradzieży tożsamości, przejęcia konta lub szantażu.

Jak błędne konfiguracje chmury omijają nawet sieci chronione VPN

Jednym z bardziej nieintuicyjnych aspektów tego rodzaju ujawnienia jest to, że omija ono wiele mechanizmów bezpieczeństwa, na których polegają organizacje. VPN-y, zapory sieciowe i kontrola dostępu do sieci są zaprojektowane do ochrony ruchu przesyłanego między systemami. Jednak gdy dane są przechowywane w publicznym zasobniku chmurowym, w ogóle nie przechodzą przez te chronione sieci. Są umieszczone w miejscu, do którego może dotrzeć każdy, kto ma połączenie z internetem.

Oznacza to, że atakujący z innego kraju, bez dostępu do sieci firmowej i bez możliwości obejścia zapory, nadal może pobrać zawartość otwartego zasobnika, przechodząc bezpośrednio na jego publiczny adres URL. Dane te praktycznie znajdują się poza granicami, które większość firmowych narzędzi bezpieczeństwa ma za zadanie bronić.

Dlatego właśnie ujawnienie danych przez źle skonfigurowane magazyny chmurowe stało się jedną z najskuteczniejszych ścieżek pozyskiwania danych przez cyberprzestępców. Nie ma tu ataku do wykrycia, nietypowego ruchu do oznaczenia ani włamania do zbadania. Z perspektywy infrastruktury odczytanie otwartego zasobnika wygląda identycznie jak zwykły ruch.

Co organizacje i osoby prywatne mogą zrobić już teraz

Dla organizacji zarządzających magazynami chmurowymi najpilniejszym krokiem jest audyt uprawnień. Każdy zasobnik powinien zostać sprawdzony, aby upewnić się, że nie jest ustawiony na dostęp publiczny, chyba że istnieje ku temu świadomy, udokumentowany powód. Główni dostawcy usług chmurowych, w tym AWS, Google Cloud i Azure, oferują narzędzia do identyfikacji zasobników ze zbyt liberalną kontrolą dostępu, a niektórzy umożliwiają teraz ustawienia na poziomie konta, aby domyślnie blokować cały dostęp publiczny.

Poza uprawnieniami ogromne znaczenie ma higiena danych uwierzytelniających. Pliki z danymi uwierzytelniającymi i kluczami nigdy nie powinny być przechowywane w zasobnikach chmurowych, w żadnych okolicznościach. Istnieją narzędzia do zarządzania sekretami zaprojektowane specjalnie po to, aby bezpiecznie obsługiwać klucze API, tokeny i dane logowania, trzymając je całkowicie poza magazynami plików.

Dla osób prywatnych ryzyko dotyczy mniej tego, co kontrolujesz samodzielnie, a bardziej tego, co kontrolują organizacje przechowujące twoje dane. Praktyczne kroki są dobrze znane: używaj unikalnych, silnych haseł do każdego konta, aby wyciek z jednej usługi nie odblokował innych, włącz uwierzytelnianie wieloskładnikowe wszędzie tam, gdzie jest oferowane, i monitoruj konta pod kątem nietypowej aktywności.

Ustalenia Mysterium VPN przypominają, że niektóre z najpoważniejszych zagrożeń dla bezpieczeństwa danych wcale nie wiążą się z wyrafinowanymi atakami. Wynikają one ze zwykłych przeoczeń administracyjnych, które pozostają niekontrolowane przez miesiące lub lata. Audyt higieny magazynów chmurowych nie jest efektowną pracą, ale w skali opisanej w tym raporcie jest to jedno z najistotniejszych działań z zakresu bezpieczeństwa, jakie organizacja może teraz podjąć.