19.6 พันล้านไฟล์ถูกเปิดเผยใน 535,000 คลาวด์บัคเก็ตที่เปิดทิ้งไว้
รายงานฉบับใหม่จาก Mysterium VPN ได้เปิดเผยตัวเลขที่น่าตกใจเกี่ยวกับปัญหาที่นักวิจัยด้านความปลอดภัยเตือนมานานหลายปี: ไฟล์กว่า 19.6 พันล้านไฟล์กำลังวางอยู่อย่างเปิดเผยบนอินเทอร์เน็ตในขณะนี้ ถูกเก็บอยู่ในคลาวด์สตอเรจบัคเก็ตที่ตั้งค่าไม่ถูกต้องมากกว่า 535,000 บัคเก็ต ซึ่งไม่ต้องใช้รหัสผ่าน ไม่ต้องยืนยันตัวตน และไม่ต้องใช้ทักษะการแฮ็กใดๆ ก็เข้าถึงได้ ในบรรดาไฟล์เหล่านั้นมีไฟล์ข้อมูลรับรองและคีย์เกือบ 700,000 ไฟล์ ที่อาจมอบสิทธิ์เข้าถึงระบบที่ใช้งานจริง ฐานข้อมูล และโครงสร้างพื้นฐานภายในให้ผู้โจมตีโดยตรง
นี่ไม่ใช่การรั่วไหลของข้อมูลในความหมายแบบดั้งเดิม ไม่มีใครต้องหาช่องโหว่หรือดักจับข้อมูลบนเครือข่าย ข้อมูลเหล่านี้ถูกเปิดทิ้งไว้เลย เป็นผลมาจากการตั้งค่าคลาวด์สตอเรจที่ผิดพลาดและถูกปล่อยทิ้งไว้เช่นนั้น
ขนาดของการเปิดเผย: 19.6 พันล้านไฟล์ ไม่มีรหัสผ่านแม้แต่รหัสเดียว
ปริมาณข้อมูลมหาศาลที่ถูกเปิดเผยนั้นยากที่จะจินตนาการให้เห็นภาพ ด้วยไฟล์ 19.6 พันล้านไฟล์ที่กระจายอยู่ในบัคเก็ตสตอเรจกว่าครึ่งล้านบัคเก็ต นี่ถือเป็นหนึ่งในกรณีการเปิดเผยคลาวด์สตอเรจบัคเก็ตที่ตั้งค่าไม่ถูกต้องครั้งใหญ่ที่สุดเท่าที่เคยมีการบันทึกไว้ บัคเก็ตเหล่านี้ครอบคลุมแพลตฟอร์มคลาวด์ที่องค์กรทุกขนาด ตั้งแต่นักพัฒนาอิสระไปจนถึงองค์กรขนาดใหญ่ ใช้เก็บข้อมูลแอปพลิเคชัน ข้อมูลสำรอง ไฟล์บันทึกการทำงาน และบันทึกลับ
คลาวด์สตอเรจที่ตั้งค่าไม่ถูกต้องไม่ใช่ปัญหาใหม่ แต่ขนาดของสิ่งที่รายงานนี้ระบุแสดงให้เห็นว่ามันยังห่างไกลจากการได้รับการแก้ไข การตั้งค่าเริ่มต้น การปรับใช้ที่เร่งรีบ และช่องว่างความรู้ด้านความปลอดภัยบนคลาวด์ ล้วนส่งผลให้บัคเก็ตถูกปล่อยให้ใครก็อ่านได้แบบสาธารณะ ในหลายกรณี องค์กรที่รับผิดชอบอาจไม่รู้ด้วยซ้ำว่าข้อมูลของตนถูกเปิดเผย
สิ่งนี้สะท้อนรูปแบบที่พบในเหตุการณ์สำคัญอื่น ๆ แดชบอร์ดวิเคราะห์ที่ตั้งค่าไม่ถูกต้องของ FTF Live เพิ่งเปิดให้เห็นบันทึกเซสชันวิดีโอแชทกว่า 22 ล้านรายการอย่างเปิดเผย ซึ่งแสดงให้เห็นว่าการมองข้ามการตั้งค่าโครงสร้างพื้นฐานเพียงอย่างเดียวสามารถเปิดเผยข้อมูลละเอียดอ่อนในวงกว้างได้โดยไม่ต้องมีการโจมตีใด ๆ เกิดขึ้นเลย
ทำไมไฟล์ข้อมูลรับรองและคีย์ถึงเป็นรอยรั่วที่อันตรายที่สุด
ในจำนวนไฟล์ที่ถูกเปิดเผย 19.6 พันล้านไฟล์ ไฟล์ข้อมูลรับรองและคีย์เกือบ 700,000 ไฟล์ถือเป็นหมวดหมู่ที่เสี่ยงที่สุดอย่างชัดเจน ไฟล์เหล่านี้มักประกอบด้วยคีย์ API, รหัสผ่านฐานข้อมูล, คีย์เข้ารหัสส่วนตัว, ข้อมูลรับรอง SSH และโทเค็นการเข้าถึงผู้ให้บริการคลาวด์
เมื่อผู้โจมตีพบไฟล์ข้อมูลรับรองในบัคเก็ตที่เปิดอยู่ พวกเขาไม่จำเป็นต้องทำขั้นตอนใดที่ซับซ้อนทางเทคนิคต่ออีกต่อไป พวกเขาสามารถนำข้อมูลรับรองนั้นไปยืนยันตัวตนกับระบบที่ได้รับการป้องกันโดยตรง นั่นอาจหมายถึงสิทธิ์อ่านและเขียนฐานข้อมูลการผลิต ความสามารถในการเริ่มใช้งานโครงสร้างพื้นฐานคลาวด์ในบัญชีของผู้อื่น หรือเข้าสู่ระบบภายในที่แต่เดิมไม่สามารถเข้าถึงได้เลย
ข้อมูลดัมพ์ฐานข้อมูลเป็นความเสี่ยงอีกประเภทหนึ่งที่แยกจากกันแต่ร้ายแรงพอ ๆ กัน ไฟล์เหล่านี้มักประกอบด้วยบันทึกผู้ใช้ รหัสผ่านแบบแฮชหรือข้อความล้วน ข้อมูลส่วนบุคคล และข้อมูลธุรกรรม ดัมพ์ฐานข้อมูลจากผู้ให้บริการสุขภาพ แพลตฟอร์มการเงิน หรือเว็บไซต์อีคอมเมิร์ซ สามารถบรรจุทุกสิ่งที่ผู้โจมตีต้องการเพื่อทำการขโมยข้อมูลส่วนตัว ยึดบัญชี หรือกรรโชกทรัพย์
การตั้งค่าคลาวด์ผิดพลาดเลี่ยงแม้แต่เครือข่ายที่ป้องกันด้วย VPN ได้อย่างไร
แง่มุมหนึ่งที่ขัดกับสัญชาตญาณจากการเปิดเผยประเภทนี้คือมันเลี่ยงผ่านมาตรการควบคุมความปลอดภัยจำนวนมากที่องค์กรใช้อยู่ VPN ไฟร์วอลล์ และการควบคุมการเข้าถึงเครือข่ายถูกออกแบบมาเพื่อป้องกันการรับส่งข้อมูลระหว่างระบบ แต่เมื่อข้อมูลถูกเก็บในคลาวด์บัคเก็ตสาธารณะ มันไม่ได้เดินทางผ่านเครือข่ายที่ได้รับการป้องกันเหล่านั้นเลย มันอยู่นิ่งในตำแหน่งที่ใครก็ตามที่มีการเชื่อมต่ออินเทอร์เน็ตสามารถเข้าถึงได้
นั่นหมายความว่าผู้โจมตีจากอีกประเทศหนึ่งที่ไม่มีการเข้าถึงเครือข่ายองค์กรและไม่มีความสามารถหลบเลี่ยงไฟร์วอลล์ ก็ยังสามารถดึงเนื้อหาจากบัคเก็ตที่เปิดเผยได้โดยตรงเพียงไปยัง URL สาธารณะของมัน ข้อมูลนั้นอยู่ในสถานที่ที่อยู่นอกขอบเขตซึ่งเครื่องมือความปลอดภัยส่วนใหญ่ขององค์กรถูกออกแบบมาให้ป้องกัน
นี่คือเหตุผลที่การเปิดเผยคลาวด์สตอเรจบัคเก็ตที่ตั้งค่าไม่ถูกต้องได้กลายเป็นหนึ่งในเส้นทางที่มีประสิทธิภาพที่สุดสำหรับการรวบรวมข้อมูลโดยผู้ที่ไม่หวังดี ไม่มีการโจมตีให้ตรวจจับ ไม่มีการรับส่งข้อมูลผิดปกติให้แจ้งเตือน และไม่มีการบุกรุกให้สอบสวน จากมุมมองของโครงสร้างพื้นฐาน ผู้ที่อ่านบัคเก็ตที่เปิดอยู่จะมีลักษณะเหมือนกับการใช้งานตามปกติทุกประการ
สิ่งที่องค์กรและบุคคลทั่วไปสามารถทำได้ในตอนนี้
สำหรับองค์กรที่จัดการคลาวด์สตอเรจ ขั้นตอนเร่งด่วนที่สุดคือการตรวจสอบสิทธิ์การเข้าถึง บัคเก็ตสตอเรจทุกบัคเก็ตควรได้รับการตรวจสอบเพื่อยืนยันว่าไม่ได้ตั้งค่าให้เข้าถึงแบบสาธารณะ เว้นแต่จะมีเหตุผลที่จงใจและมีเอกสารรองรับ ผู้ให้บริการคลาวด์รายใหญ่รวมถึง AWS, Google Cloud และ Azure ต่างมีเครื่องมือในการระบุบัคเก็ตที่มีการควบคุมการเข้าถึงที่เปิดกว้างเกินไป และบางรายยังมีการตั้งค่าระดับบัญชีเพื่อบล็อกการเข้าถึงแบบสาธารณะทั้งหมดโดยค่าเริ่มต้น
นอกจากการตั้งค่าสิทธิ์แล้ว สุขอนามัยของข้อมูลรับรองมีความสำคัญอย่างยิ่ง ไฟล์ข้อมูลรับรองและคีย์ไม่ควรถูกเก็บในคลาวด์สตอเรจบัคเก็ตไม่ว่ากรณีใด มีเครื่องมือจัดการความลับที่ถูกสร้างขึ้นมาเพื่อจัดการคีย์ API โทเค็น และข้อมูลรับรองอย่างปลอดภัยโดยเฉพาะ เพื่อไม่ให้สิ่งเหล่านี้ไปอยู่ในระบบจัดเก็บไฟล์
สำหรับบุคคลทั่วไป ความเสี่ยงไม่ได้อยู่ที่สิ่งที่คุณควบคุม แต่อยู่ที่สิ่งที่องค์กรที่ถือครองข้อมูลของคุณควบคุม ขั้นตอนที่ปฏิบัติได้จริงนั้นคุ้นเคยดี: ใช้รหัสผ่านที่คาดเดายากและไม่ซ้ำกันสำหรับแต่ละบัญชี เพื่อที่ดัมพ์ข้อมูลรับรองจากบริการหนึ่งจะไม่สามารถนำไปปลดล็อกบัญชีอื่นได้ เปิดใช้การยืนยันตัวตนแบบหลายขั้นตอนทุกที่ที่มีให้ และคอยติดตามบัญชีว่ามีกิจกรรมผิดปกติหรือไม่
สิ่งที่ Mysterium VPN ค้นพบเป็นเครื่องเตือนใจว่าความเสี่ยงด้านความปลอดภัยของข้อมูลที่สำคัญที่สุดบางอย่างไม่เกี่ยวข้องกับการโจมตีที่ซับซ้อนเลย มันเกี่ยวข้องกับการมองข้ามด้านการดูแลจัดการทั่วไปที่ไม่มีใครตรวจสอบเป็นเวลาหลายเดือนหรือหลายปี การตรวจสอบสุขอนามัยของคลาวด์สตอเรจไม่ใช่งานที่ดูหรูหรา แต่ด้วยขนาดที่รายงานนี้บรรยาย มันคืองานด้านความปลอดภัยที่ทรงผลลัพธ์สูงสุดอย่างหนึ่งที่องค์กรสามารถทำได้ในตอนนี้
