‘Honderden AWS back-ups lekken gevoelige data’

Diverse bedrijven, startups en overheden lekken hun eigen bestanden vanuit de cloud. Dat blijkt uit nieuw onderzoek gepresenteerd tijdens Def Con. Het probleem zit hem in de Elastic Block Storage-snapshots van AWS.

De Elastic Block Storage (EBS) snapshots zijn volgens Ben Morris, een beveiligingsanalist bij Bishop Fox, de “sleutels naar het koninkrijk”. In EBS-snapshots wordt alle data voor cloud-applicaties opgeslagen.

“Ze hebben de geheime sleutels naar je applicaties en database-toegang tot de informatie van je klanten”, aldus Morris tegenover TechCrunch. “Als je de harddisk van je computer weggooit, haal je deze meestal helemaal leeg of maak je hem kapot. Maar deze publieke EBS-volumes staan voor iedereen open.”

Het probleem is dat veel cloud admins de verkeerde configuratie-instellingen kiezen. Daardoor blijven de EBS-snapshots openbaar en zijn ze niet versleuteld. “Iedereen op het internet kan daardoor de harddisk downloaden en opstarten. Door hem aan een machine te koppelen, is het mogelijk om door allerlei data en geheimen te navigeren.”

Tool

Morris maakte zelf een tool dat de interne zoekfunctie van Amazon gebruikt, om openbare EBS-snapshots te vinden en te scrapen. Vervolgens wordt de snapshot gekoppeld, wordt er een kopie van gemaakt en verschijnt er een lijst van de inhoud van de snapshot op het systeem van Morris.

De onderzoeker wist in twee maanden tijd een database op te bouwen met gelekte data. Hier betaalde hij een paar honderd dollar aan Amazon cloud-resources voor.

Nadat een snapshot gevalideerd is, wordt de data verwijderd.

Tientallen snapshots

Morris vond op deze manier tientallen openbare snapshots in slechts één regio. Daarin stonden bijvoorbeeld applicatiesleutels en gegevens van kritieke gebruikers. De data kwam van diverse grote bedrijven, waaronder techbedrijven en zorgaanbieders.

Ook vond Morris VPN-configuraties. Naar eigen zeggen kon hij daarmee een tunnel opzetten naar een bedrijfsnetwerk. De inloggegevens en gevoelige data gebruikte hij echter niet.

Morris verwacht dat er in totaal 1.250 openbare snapshots zijn in alle Amazon cloud-regio’s. Een woordvoerder van Amazon stelt dat klanten die hun EBS-snapshots openbaar hebben gemaakt, op de hoogte zijn gebracht en geadviseerd worden om de snapshot offline te halen als de instelling onbedoeld was. Ook benadrukt het bedrijf dat het mogelijk is om in de configuraties encryptie standaard af te dwingen voor EBS-volumes en -snapshots.