19,6 мільярда файлів викрито у 535 000 відкритих хмарних сховищах
Новий звіт Mysterium VPN наводить приголомшливу цифру проблеми, про яку дослідники безпеки попереджали роками: 19,6 мільярда файлів просто зараз знаходяться у відкритому доступі в інтернеті, збережені в понад 535 000 неправильно налаштованих хмарних сховищах, які не потребують ані паролів, ані автентифікації, ані жодних навичок злому. Серед цих файлів — майже 700 000 файлів із обліковими даними та ключами, які можуть надати зловмиснику прямий доступ до живих систем, баз даних та внутрішньої інфраструктури.
Це не витік даних у традиційному розумінні. Ніхто не експлуатував уразливість і не перехоплював мережевий трафік. Дані просто відкриті — наслідок неправильно налаштованих параметрів хмарного сховища, які залишили без змін.
Масштаб викриття: 19,6 мільярда файлів, нуль паролів
Простий обсяг викритих даних важко усвідомити. 19,6 мільярда файлів, розподілених по більш ніж пів мільйону сховищ, — це один із найбільших задокументованих випадків неправильного налаштування хмарних сховищ, коли-небудь зафіксованих. Ці сховища охоплюють хмарні платформи, де організації будь-якого розміру — від окремих розробників до великих підприємств — зберігають дані додатків, резервні копії, журнали та конфіденційні записи.
Неправильно налаштоване хмарне сховище — не нова проблема, але масштаб, описаний у звіті, свідчить про те, що вона далеко не вирішена. Параметри за замовчуванням, поспішні розгортання та прогалини у знаннях з хмарної безпеки — усе це призводить до того, що сховища залишаються публічно читабельними. У багатьох випадках відповідальні організації можуть навіть не знати, що їхні дані викрито.
Це віддзеркалює моделі, помічені в інших гучних інцидентах. Неправильно налаштована аналітична панель FTF Live нещодавно залишила у відкритому доступі понад 22 мільйони записів сеансів відеочату, демонструючи, як один прорахунок в інфраструктурі може викрити величезний обсяг чутливих даних без жодної активної атаки.
Чому файли з обліковими даними та ключами є найнебезпечнішим витоком
Серед 19,6 мільярда викритих файлів майже 700 000 файлів з обліковими даними та ключами становлять найбільшу категорію ризику зі значним відривом. Ці файли часто містять API-ключі, паролі до баз даних, приватні криптографічні ключі, облікові дані SSH та токени доступу хмарних провайдерів.
Коли зловмисник знаходить файл з обліковими даними у відкритому сховищі, йому не потрібно робити нічого технічно складного далі. Він може взяти ці облікові дані та автентифікуватися безпосередньо в системах, які вони захищають. Це може означати доступ на читання та запис до робочої бази даних, можливість запускати хмарну інфраструктуру з чужого облікового запису або вхід до внутрішніх систем, які в іншому випадку були б повністю недоступними.
Дамп баз даних становить окремий, але такий же серйозний ризик. Ці файли часто містять записи користувачів, хешовані або відкриті паролі, особисту інформацію та дані транзакцій. Дамп бази даних від медичного закладу, фінансової платформи або сайту електронної комерції може містити все, що потрібно зловмиснику для крадіжки особистості, захоплення облікових записів або вимагання.
Як хмарні неправильні налаштування обходять навіть мережі, захищені VPN
Одним із найбільш контринтуїтивних аспектів такого типу викриття є те, що він оминає багато засобів контролю безпеки, на які покладаються організації. VPN, брандмауери та засоби керування мережевим доступом призначені для захисту трафіку, що переміщується між системами. Але коли дані зберігаються в публічному хмарному сховищі, вони взагалі не проходять через ці захищені мережі. Вони знаходяться у місці, куди може потрапити будь-хто з інтернет-з’єднанням.
Це означає, що зловмисник в іншій країні, без доступу до корпоративної мережі та без можливості обійти брандмауер, все одно може отримати вміст відкритого сховища, перейшовши безпосередньо за його публічною URL-адресою. Дані, по суті, існують поза периметром, який більшість організаційних засобів безпеки призначені захищати.
Ось чому неправильно налаштоване хмарне сховище стало одним із найефективніших шляхів для збору даних зловмисниками. Тут немає атаки, яку можна виявити, немає незвичного трафіку, який можна позначити, і немає вторгнення для розслідування. З точки зору інфраструктури, читання відкритого сховища виглядає ідентично звичайному трафіку.
Що організації та окремі особи можуть зробити прямо зараз
Для організацій, які керують хмарним сховищем, найнагальнішим кроком є аудит прав доступу. Кожне сховище слід перевірити, щоб переконатися, що воно не має публічного доступу, за винятком випадків, коли є свідома, задокументована причина для цього. Основні хмарні провайдери, зокрема AWS, Google Cloud та Azure, пропонують інструменти для виявлення сховищ із надто широкими правами доступу, а деякі тепер надають налаштування на рівні облікового запису для блокування всього публічного доступу за замовчуванням.
Окрім прав доступу, надзвичайно важливою є гігієна облікових даних. Файли з обліковими даними та ключами ніколи не повинні зберігатися в хмарних сховищах за жодних обставин. Існують спеціальні інструменти керування секретами, які безпечно обробляють API-ключі, токени та облікові дані, повністю виключаючи їх із файлових сховищ.
Для окремих осіб ризик менше пов’язаний з тим, що ви контролюєте, а більше з тим, що контролюють організації, які зберігають ваші дані. Практичні кроки знайомі: використовуйте унікальні, надійні паролі для кожного облікового запису, щоб дамп облікових даних з одного сервісу не міг відкрити інші; вмикайте багатофакторну автентифікацію, де це можливо; відстежуйте облікові записи на предмет незвичної активності.
Висновки Mysterium VPN є нагадуванням того, що деякі з найзначніших ризиків безпеки даних взагалі не пов'язані зі складними атаками. Вони пов'язані зі звичайними адміністративними помилками, які залишаються неперевіреними місяцями або роками. Аудит гігієни хмарного сховища — це не гламурна робота, але в масштабах, описаних у цьому звіті, це одна з найважливіших робіт з безпеки, яку організація може зробити просто зараз.
