Weleens gevoelige data opgeslagen op een Amazon-server? Dan is het hoog tijd om te controleren of die gegevens niet voor iedereen toegankelijk zijn. Want met BuckHacker hebben datadieven ze zo gevonden.
Het inbreken op computernetwerken en stelen van data lijkt voor velen wellicht een magische kunst, voorbehouden aan hyperintelligente oppernerds. Maar ook minder begenadigde hackers hebben steeds meer gereedschappen tot hun beschikking om onbeveiligde systemen of data op te sporen. Bekend is de zoekmachine Shodan voor het vinden van bijvoorbeeld onbeveiligde webservers, bewakingscamera’s of opslagapparatuur. Nieuw is BuckHacker voor het opsporen van zogenaamde Amazon S3-buckets die open en bloot aan het internet hangen.
‘Buckets’ zijn de plaatsen waar gebruikers van de Amazon S3-clouddienst statische data zoals back-ups en weblogs kunnen opslaan. Standaard zijn die gegevens alleen toegankelijk voor geautoriseerde gebruikers. Een aanpassing van de configuratie kan er echter voor zorgen dat een bucket voor iedereen vanaf het internet is te benaderen. Volgens onderzoek hangt 7 procent van de buckets open en bloot aan het internet.
Misconfiguraties van buckets leidden al tot grote datalekken. Zo lekte het Pentagon inlichtingendata die waren opgeslagen in drie Amazon S3-buckets. In totaal ging het om 1,8 miljard berichten, reacties en artikelen die het Amerika ministerie van Defensie gedurende acht jaar had verzameld. Beveiligingsonderzoeker ‘Wojciech’ trof in een open Amazon S3-bucket de jackpot aan: de privégegevens van maar liefst vijftigduizend Australische werknemers.
Kan het nog erger? Helaas wel. Voorheen moesten datadieven op de hoogte zijn van de url van een open bucket. Daar hebben de ontwikkelaars van BuckHacker iets op bedacht. Ze ontwikkelden een tool waarmee je heel eenvoudig S3-buckets kunt opsporen, bijvoorbeeld door te zoeken op bucket- of filenaam. Grote kans dat daar de bedrijfsnaam in is verwerkt en zo kan de bezoeker van BuckHacker zoeken naar data van een bepaalde organisatie of uit een bepaalde categorie.
Het idee achter BuckHacker is niet nieuw. Bijvoorbeeld AWSBucketDump doet ongeveer hetzelfde. BuckHacker maakt het zoeken naar open buckets wel een stuk eenvoudiger. Technische kennis is eigenlijk niet nodig. Het is alsof je googelt naar gevoelige gegevens die per ongeluk onafgeschermd in een bucket staan.
Tegenover de Amerikaanse techsite Motherboard verklaarden de ontwikkelaars dat ze BuckHacker hebben ontwikkeld voor het aanwakkeren van het beveiligingsbewustzijn. 'Teveel bedrijven werden de afgelopen jaren getroffen door verkeerde toegangsrechten voor buckets.' BuckHacker slaat de resultaten van de zoekopdrachten op in een database, zodat iedereen kan opzoeken hoe het is gesteld met de security van bepaalde buckets.
Op Twitter lieten de ontwikkelaars weten dat deze eerste versie van de ‘dienst’ nog niet stabiel en voorlopig offline is voor onderhoud. Dat geeft organisaties de tijd om voorzorgsmaatregelen te treffen op het gebied van databescherming. Zo verklein je de kans dat je op de ‘bucket list’ van BuckHacker verschijnt en gevoelige gegevens op straat komen te liggen:
Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren
