Aproximadamente uno de cada seis “cubos” de Amazon S3 está lleno de agujeros, filtrando información confidencial y secretos empresariales, según un nuevo informe.
Amazon Simple Storage Service (S3) es un interfaz de servicios web que permite almacenar y acceder a datos almacenados en la nube de Amazon dando a los desarrolladores una forma de guardar y acceder, por ejemplo, a copias de seguridad de servidores, documentos empresariales, web logs, y a documentos accesibles públicamente como imágenes y PDFs.
Estos contenidos se organizan en “cubos”, accesibles desde URLs predecibles.
Los tipos de datos que podemos encontrar en estos cubos a los que cualquiera puede acceder si los usuarios los han configurado como de acceso público, según el consultor senior de seguridad, Will Vandevanter de Rapid7, son:
– Fotos personales de una red social media.
– Registros de ventas e información contable de un gran concesionario de coches.
– Datos de afiliados, porcentajes de click-through e información contable de una agencia de publicidad.
– Información personal de empleados y listas de miembros en varias hojas de cálculo.
– Copias de seguridad de bases de datos sin proteger que contienen datos de webs y contraseñas cifradas.
– Código fuente de vídeo juegos y herramientas de programación de una empresa de juegos para móviles.
– Código PHP que incluía ficheros de configuración que contenían nombres de usuarios y contraseñas.
Y estos son únicamente algunos de los datos que Vandevanter, junto a HD Moore e inspirados por Robin Wood, recolectaron de 1.951 cubos que encontraron abiertos al público.
La gran cantidad de ficheros hacía imposible que comprobáramos los permisos de cada objeto, así que realizamos test al azar. Revisamos más de 40.000 ficheros accesibles al público, muchos de los cuales contenían información confidencial.
Aproximadamente uno de cada seis cubos está “abierto a quien le pueda interesar”, afirma.
No podemos culpar a Amazon de esto. La configuración por defecto es “privado”. Los cubos configurados como “públicos” mostrarán una lista de su contenido a cualquiera que lo pida.
Por defecto, los cubos tendrán uno o dos URLs predecibles.
Usando las dos sintaxis que nos ofrece para averiguar las URL, podrás comprobar si el cubo es “privado” o por lo contrario accederás a los primeros 1.000 objetos que contenga.
Como remedio, hay uno sencillo, según Vandevanter: “Comprueba tu cubo. Si está abierto, determina si no te preocupa el acceso a su contenido“.
Si el contenido debe ser privado, consulta el tutorial de Amazon sobre como bloquearlo.
Desafortunadamente, convertir tu cubo ahora en privado no cerrará el acceso a las versiones almacenadas por el sistema de indexado de Google.
Vandevanter recomienda el uso de WayBackMachine para encontrar cubos que anteriormente estuvieran abiertos.
Éstas son las instrucciones de Amazon para gestionar el acceso a los objetos en los cubos.
Obviamente Amazon no tiene ninguna culpa, como Vandevanter señala. La compañía ha configurado los cubos como privados por defecto, y ha publicado suficiente información sobre cómo mantenerlos seguros.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario