AWS lekt geheime informatie van GoDaddy

Door een onveilige S3-bucket van Amazon Web Services (AWS) was informatie over de cloudinfrastructuur van GoDaddy in te zien. Dat ontdekten onderzoekers van het UpGuard Cyber Risk Team, waarna de kwetsbaarheid opgelost werd. De blootgestelde documenten omschrijven de GoDaddy-infrastructuur die draait in de AWS-cloud.

Daarnaast maakte de S3-bucket, genaamd ‘abbottgodaddy’, het mogelijk om toegang te krijgen tot “high-level” configuratie-informatie voor tienduizenden systemen en de prijsopties voor het draaien van de systemen op AWS. Daaronder vallen de geboden kortingen in verschillende scenario’s. Bij de configuratiebestanden kun je denken aan hostingnamen, besturingssystemen, workloads, AWS-regio’s, geheugen en CPU-specificaties.

Inhoud

Dergelijke gegevens van minstens 24.000 systemen waren door het lek in te zien. “Deze gegevens hebben een zeer grote AWS-cloudinfrastructuurimplementatie in kaart gebracht, alsmede samengevatte en gemodelleerde gegevens over totalen, gemiddelden en andere berekende velden”, aldus Upguard.

Abbottgodaddy bevatte waarschijnlijk ook informatie die betrekking heeft op de samenwerking tussen GoDaddy en AWS, zoals tariefonderhandelingen. Dergelijke gegevens worden bestempeld als vertrouwelijk. De twee partijen tekenden eerder dit jaar juist nog een overeenkomst voor het migreren van de computing-infrastructuur. Nu stuiten onderzoekers dus al op een lek.

Beveiligingsfout

Als de betreffende data daadwerkelijk in de verkeerde handen terecht was gekomen, dan had GoDaddy nadelige gevolgen kunnen ondervinden. Het was bijvoorbeeld mogelijk om handelsgeheimen aan het grote publieke te lekken. Toch zijn beide partijen ervan overtuigd dat gevoelige informatie niet daadwerkelijk op straat beland is. Aan Engadget verklaart Amazon namelijk dat er geen GoDaddy-klantinformatie opgeslagen was in de S3-bucket, terwijl de aanwezige documenten ‘speculatief’ zijn in plaats van ‘definitief’.

Een verkoopmedewerker van AWS zou verantwoordelijk zijn voor de beveiligingsfout. Hij sloeg vermoedelijke AWS-prijsscenario’s op tijdens het werken met de klant. De medewerker leefde de best practices echter niet na. Uiteindelijk kwam UpGuard de kwetsbare S3-bucket op 19 juni tegen, op 26 juli kwam er een definitieve oplossing.

Update 13/08/2018: AWS deelt ter verduidelijking het statement. “The bucket in question was created by an AWS salesperson to store prospective AWS pricing scenarios while working with a customer. No GoDaddy customer information was in the bucket that was exposed. While Amazon S3 is secure by default and bucket access is locked down to just the account owner and root administrator under default configurations, the salesperson did not follow AWS best practices with this particular bucket.”