19,6 миллиарда файлов доступны в 535 000 открытых облачных хранилищах

19,6 миллиарда файлов доступны в 535 000 открытых облачных хранилищах

Новый отчёт Mysterium VPN оценил масштаб проблемы, о которой специалисты по безопасности предупреждали годами: прямо сейчас в интернете открыто лежат 19,6 миллиарда файлов, размещённых в более чем 535 000 неправильно настроенных облачных хранилищ, для доступа к которым не требуется ни пароль, ни аутентификация, ни навыки взлома. Среди этих файлов почти 700 000 файлов с учётными данными и ключами, которые могут дать злоумышленнику прямой доступ к рабочим системам, базам данных и внутренней инфраструктуре.

Это не утечка в традиционном понимании. Никому не пришлось эксплуатировать уязвимость или перехватывать сетевой трафик. Данные просто открыты — результат неверно заданных настроек облачного хранилища, которые так и не исправили.

Масштаб утечки: 19,6 миллиарда файлов без паролей

Чистый объём открытых данных трудно сопоставить с чем-либо. 19,6 миллиарда файлов, разбросанных по более чем полумиллиону контейнеров, — это один из крупнейших задокументированных случаев неправильной настройки облачных хранилищ за всю историю наблюдений. Эти контейнеры охватывают облачные платформы, на которых организации любого масштаба — от индивидуальных разработчиков до крупных предприятий — хранят данные приложений, резервные копии, журналы и конфиденциальные записи.

Неправильно настроенное облачное хранилище — не новая проблема, но её масштаб, отражённый в отчёте, говорит о том, что она далека от решения. Настройки по умолчанию, спешные развёртывания и пробелы в знаниях об облачной безопасности приводят к тому, что контейнеры остаются открытыми для публичного чтения. Во многих случаях ответственные организации могут даже не подозревать, что их данные открыты.

Это напоминает модели, наблюдаемые в других громких инцидентах. Неправильно настроенная панель аналитики FTF Live недавно оставила открытыми более 22 миллионов записей сеансов видеочата, показывая, как один-единственный просчёт в инфраструктуре может открыть чувствительные данные в огромном масштабе без всякой активной атаки.

Почему файлы с учётными данными и ключами — самая опасная утечка

Из 19,6 миллиарда открытых файлов почти 700 000 файлов с учётными данными и ключами представляют самую высокую категорию риска со значительным отрывом. Эти файлы часто содержат API-ключи, пароли к базам данных, закрытые криптографические ключи, учётные данные SSH и токены доступа облачных провайдеров.

Когда злоумышленник находит файл с учётными данными в открытом контейнере, ему не нужно делать ничего технически сложного. Он может взять эти учётные данные и напрямую пройти аутентификацию в тех системах, которые они защищают. Это может означать доступ на чтение и запись к рабочей базе данных, возможность развернуть облачную инфраструктуру за чужой счёт или вход во внутренние системы, которые иначе были бы полностью недоступны.

Дампы баз данных представляют отдельный, но не менее серьёзный риск. Такие файлы часто содержат пользовательские записи, хешированные или открытые пароли, личную информацию и данные транзакций. Дамп базы данных медицинского учреждения, финансовой платформы или интернет-магазина может вместить всё, что нужно злоумышленнику для кражи личности, захвата учётных записей или вымогательства.

Как неправильная конфигурация облака обходит даже сети, защищённые VPN

Один из самых парадоксальных аспектов такого типа раскрытия данных заключается в том, что он обходит многие средства защиты, на которые полагаются организации. VPN, межсетевые экраны и средства контроля сетевого доступа предназначены для защиты трафика между системами. Но когда данные хранятся в публичном облачном контейнере, они вообще не проходят через эти защищённые сети. Они лежат в месте, доступном для любого, у кого есть интернет-соединение.

Это означает, что злоумышленник в другой стране, не имея доступа к корпоративной сети и не умея обходить межсетевой экран, всё равно может получить содержимое открытого контейнера, просто перейдя по его публичному URL. По сути, данные существуют за пределами периметра, который призваны защищать большинство организационных средств безопасности.

Именно поэтому раскрытие неправильно настроенных облачных хранилищ стало одним из самых эффективных путей сбора данных для злоумышленников. Здесь нечего обнаружить — нет атаки, нет необычного трафика, который можно было бы пометить, нет вторжения для расследования. С точки зрения инфраструктуры чтение открытого контейнера выглядит так же, как обычный трафик.

Что организации и частные лица могут сделать прямо сейчас

Для организаций, управляющих облачным хранилищем, самый срочный шаг — аудит прав доступа. Каждый контейнер следует проверить, чтобы убедиться, что он не настроен на публичный доступ, если только для этого нет осознанной, задокументированной причины. Крупные облачные провайдеры, включая AWS, Google Cloud и Azure, предлагают инструменты для выявления контейнеров со слишком широкими правами доступа, а некоторые уже имеют настройки на уровне аккаунта, позволяющие по умолчанию блокировать любой публичный доступ.

Помимо прав доступа, крайне важна гигиена учётных данных. Файлы с учётными данными и ключами ни при каких обстоятельствах не должны храниться в облачных контейнерах. Существуют специализированные инструменты управления секретами, предназначенные для безопасного обращения с API-ключами, токенами и учётными данными, полностью исключающие их попадание в файловое хранилище.

Для частных лиц риск заключается не столько в том, что они контролируют сами, сколько в том, что контролируют организации, хранящие их данные. Практические шаги известны: используйте уникальные надёжные пароли для каждого сервиса, чтобы дамп учётных данных одного сервиса не открыл остальные; включайте многофакторную аутентификацию везде, где она предлагается; отслеживайте необычную активность в учётных записях.

Выводы Mysterium VPN — напоминание о том, что некоторые из самых серьёзных рисков для безопасности данных вообще не связаны со сложными атаками. Они связаны с обычными административными просчётами, которые остаются незамеченными месяцами или годами. Аудит гигиены облачных хранилищ — не самая эффектная работа, но в масштабах, описанных в этом отчёте, это одна из самых важных задач по безопасности, которую организация может выполнить прямо сейчас.