Bedrijven, startups en overheden lekken onbedoeld hun eigen bestanden uit de cloud. Beheerders kiezen regelmatig niet de juiste configuratie-instellingen, waardoor Amazon’s elastic block storage (EBS)-snapshots onbedoeld openbaar en niet-versleuteld blijven.
“Dat betekent dat iedereen op internet je harde schijf kan downloaden en opstarten, op een machine kan aansluiten waar ze controle over hebben en vervolgens de schijf doorzoeken op geheimen”, zegt Ben Morris, senior beveiligingsanalist bij cybersecuritybedrijf Bishop Fox. Hij presenteerde de onthullingen afgelopen week tijdens de Def Con security-conferentie in Las Vegas, aldus TechCrunch.
‘Geheime sleutel van applicaties’
“Deze snapshots van de EBS zijn de ‘sleutels tot het koninkrijk’. EBS-snapshots slaan alle gegevens op voor cloud-applicaties. Ze hebben de geheime sleutels van uw applicaties en ze hebben databasetoegang tot de informatie van uw klanten”, aldus Morris. “Als je de harde schijf voor je computer verwijdert, weet je dat je deze meestal versnippert of volledig wiped. Maar deze openbare EBS-volumes zijn gewoon voor iedereen beschikbaar om ermee aan de slag te gaan.”
S3-bucket
Blootgestelde S3-buckets is inmiddels een vrij bekend gegeven. Hierbij gaat het om door Amazon gehoste opslagservers boordevol klantgegevens, vaak verkeerd geconfigureerd en onbedoeld ingesteld op ‘openbaar’. Volgens het cybersecuritybedrijf vormen blootgestelde EBS-snapshots evenveel, zo niet zelfs een groter risico.
Morris bouwde een tool met behulp van de eigen interne zoekfunctie van Amazon om publiekelijk blootgestelde EBS-snapshots op te vragen en deze te doorzoeken. Vervolgens wist hij deze te koppelen, maakte een kopie en wist de inhoud van het volume op zijn systeem weer te geven. Zelfs als de schijf maar een paar minuten was blootgesteld, was de eigenhandig gebouwde tool in staat deze op te pakken en er een kopie van te maken. Het hele onderzoek kostte naar eigen zeggen slechts twee maanden en een paar honderd dollar aan Amazon-cloudbronnen.
Kritieke referenties
In alleen al één regio vond Morris tientallen EBS-snapshots, inclusief applicatiesleutels, kritieke gebruikers- of beheerdersreferenties, broncode en meer. Deze waren afkomstig van verschillende grote bedrijven, waaronder zorgaanbieders en technologiebedrijven. Het zou gaan om maar liefst 1.250 opnames in alle Amazon-cloudregio’s. Bovendien vond hij VPN-configuraties, die hem de mogelijkheid gaven een bedrijfsnetwerk binnen te komen. Morris benadrukt geen inloggegevens of gevoelige gegevens te hebben gebruikt, gezien dat in strijd met de wet zou zijn geweest.
Zo vond hij een momentopname voor een niet nader te noemen overheidscontractant, die diensten voor gegevensopslag leverde aan federale agentschappen. Volgens hem scheppen ze op hun website zelfs op over het bewaren van gegevens, die verwijzen naar verzamelde inlichtingen uit berichten verzonden naar en van de islamitische terreurgroep IS over grensovergangen. “Dat soort dingen zou ik absoluut niet blootgesteld willen hebben aan het openbare internet.”
Proof-of-concept-code
Amazon laat weten dat klanten die hun Amazon EBS-snapshots openbaar hebben gemaakt inmiddels op de hoogte zijn gebracht en geadviseerd de snapshot offline te halen, als het openbaar maken ervan onbedoeld was. Morris is van plan zijn proof-of-concept-code de komende weken vrij te geven, maar geeft bedrijven een paar weken de tijd hun eigen schijven te doorlopen. Zo kunnen ze ervoor zorgen dat ze geen onbedoelde blootstellingen hebben.