19.6 miliarde de fișiere expuse în 535.000 de bucket-uri cloud deschise

19.6 miliarde de fișiere expuse în 535.000 de bucket-uri cloud deschise

Un nou raport de la Mysterium VPN a evidențiat o cifră uluitoare a unei probleme despre care cercetătorii în securitate avertizează de ani buni: 19,6 miliarde de fișiere se află în acest moment accesibile public pe internet, stocate în peste 535.000 de bucket-uri de stocare cloud configurate greșit, care nu necesită parolă, autentificare sau vreo abilitate de hacking pentru a fi accesate. Printre aceste fișiere se numără aproape 700.000 de fișiere de credențiale și chei care i-ar putea oferi unui atacator acces direct la sisteme active, baze de date și infrastructură internă.

Aceasta nu este o breșă în sensul tradițional. Nimeni nu a trebuit să exploateze o vulnerabilitate sau să intercepteze traficul de rețea. Datele sunt pur și simplu deschise, o consecință a configurărilor de stocare cloud setate incorect și lăsate așa.

Amploarea expunerii: 19,6 miliarde de fișiere, zero parole

Volumul enorm de date expuse este dificil de contextualizat. Cu 19,6 miliarde de fișiere răspândite în peste jumătate de milion de bucket-uri de stocare, aceasta reprezintă una dintre cele mai mari cazuri documentate de expunere a bucket-urilor de stocare cloud configurate greșit catalogate vreodată. Aceste bucket-uri acoperă platforme cloud unde organizații de toate dimensiunile, de la dezvoltatori independenți până la mari întreprinderi, stochează datele aplicațiilor, copii de rezervă, jurnale și înregistrări sensibile.

Stocarea cloud configurată greșit nu este o problemă nouă, dar amploarea raportată aici sugerează că este departe de a fi una rezolvată. Setările implicite, implementările grăbite și lacunele în cunoștințele de securitate cloud contribuie toate la lăsarea bucket-urilor cu acces public de citire. În multe cazuri, organizațiile responsabile nici măcar nu știu că datele lor sunt expuse.

Aceasta reflectă tipare observate în alte incidente de mare anvergură. Un tablou de bord de analiză configurat greșit la FTF Live a lăsat recent peste 22 de milioane de înregistrări ale sesiunilor de chat video accesibile public, ilustrând cum o singură neglijență de infrastructură poate expune date sensibile la scară masivă, fără niciun atac activ.

De ce fișierele de credențiale și chei sunt cea mai periculoasă scurgere de date

Dintre cele 19,6 miliarde de fișiere expuse, cele aproape 700.000 de fișiere de credențiale și chei reprezintă categoria cu cel mai mare risc, cu o marjă semnificativă. Aceste fișiere conțin adesea chei API, parole de baze de date, chei criptografice private, credențiale SSH și token-uri de acces pentru furnizorii cloud.

Când un atacator găsește un fișier de credențiale într-un bucket deschis, nu mai trebuie să facă nimic sofisticat din punct de vedere tehnic. Poate lua acele credențiale și se poate autentifica direct pe sistemele pe care acestea le protejează. Aceasta ar putea însemna acces de citire și scriere la o bază de date de producție, capacitatea de a iniția infrastructură cloud pe contul altcuiva sau intrarea în sisteme interne care altfel ar fi complet inaccesibile.

Descărcările de baze de date prezintă un risc separat, dar la fel de grav. Aceste fișiere conțin adesea înregistrări de utilizatori, parole hashed sau în text clar, informații personale și date de tranzacții. O descărcare a unei baze de date de la un furnizor de servicii medicale, o platformă financiară sau un site de comerț electronic poate conține tot ce are nevoie un atacator pentru furt de identitate, preluare de cont sau extorcare.

Cum ocolesc configurările greșite ale cloud-ului chiar și rețelele protejate prin VPN

Unul dintre aspectele mai contraintuitive ale acestui tip de expunere este că el ocolește multe dintre controalele de securitate pe care organizațiile se bazează. VPN-urile, firewall-urile și controalele de acces la rețea sunt concepute pentru a proteja traficul care circulă între sisteme. Dar când datele sunt stocate într-un bucket cloud public, ele nu mai circulă deloc prin acele rețele protejate. Ele se află într-o locație la care oricine cu o conexiune la internet poate ajunge.

Aceasta înseamnă că un atacator dintr-o altă țară, fără acces la rețeaua corporativă și fără capacitatea de a ocoli un firewall, poate să recupereze conținutul unui bucket expus, navigând direct la adresa sa URL publică. Datele există efectiv în afara perimetrului pe care majoritatea instrumentelor de securitate organizațională sunt concepute să îl apere.

De aceea, expunerea bucket-urilor de stocare cloud configurate greșit a devenit una dintre cele mai eficiente căi de colectare a datelor de către actorii amenințărilor. Nu există niciun atac de detectat, niciun trafic neobișnuit de semnalat și nicio intruziune de investigat. Din perspectiva infrastructurii, cineva care citește un bucket deschis arată identic cu traficul de rutină.

Ce pot face organizațiile și indivizii chiar acum

Pentru organizațiile care administrează stocare cloud, cel mai urgent pas este un audit al permisiunilor. Fiecare bucket de stocare ar trebui revizuit pentru a confirma că nu este setat pentru acces public, cu excepția cazului în care există un motiv deliberat și documentat. Principalii furnizori de cloud, inclusiv AWS, Google Cloud și Azure, oferă instrumente pentru a identifica bucket-urile cu controale de acces prea permisive, iar unii oferă acum setări la nivel de cont pentru a bloca implicit orice acces public.

Dincolo de permisiuni, igiena credențialelor contează enorm. Fișierele de credențiale și chei nu ar trebui stocate niciodată în bucket-uri de stocare cloud, în nicio circumstanță. Există instrumente specializate de gestionare a secretelor pentru a gestiona cheile API, token-urile și credențialele în siguranță, păstrându-le complet în afara stocării de fișiere.

Pentru indivizi, riscul nu ține de ceea ce controlează ei, ci de ceea ce controlează organizațiile care dețin datele lor. Pașii practici sunt familiari: folosiți parole unice și puternice pentru fiecare cont, astfel încât o scurgere de credențiale de la un serviciu să nu deblocheze alte conturi, activați autentificarea multi-factor oriunde este oferită și monitorizați conturile pentru activități neobișnuite.

Descoperirile Mysterium VPN reamintesc că unele dintre cele mai semnificative riscuri de securitate a datelor nu implică deloc atacuri sofisticate. Ele implică neglijențe administrative obișnuite, care rămân necontrolate luni sau ani de zile. Auditarea igienei stocării cloud nu este o muncă spectaculoasă, dar la scara descrisă de acest raport, este una dintre cele mai importante activități de securitate pe care o organizație le poate face acum.