image

Viacom lekt wachtwoorden en encryptiesleutels in AWS-bucket

woensdag 20 september 2017, 17:14 door Redactie, 8 reacties

Wachtwoorden, encryptiesleutels en andere gevoelige bedrijfsgegevens van mediagigant Viacom waren door een datalek voor iedereen op internet toegankelijk, zo laat securitybedrijf UpGuard weten. Onderzoeker Chris Vickery van UpGuard ontdekte op 30 augustus een Amazon Web Services S3-bucket die voor iedereen toegankelijk was. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens op kunnen slaan.

In het geval van deze specifieke S3-bucket lijkt het om back-ups te gaan van Viacoms it-infrastructuur. Er werden 72 tgz-bestanden aangetroffen. In deze bestanden vond Vickery wachtwoorden en manifesten van Viacom-servers, alsmede gegevens om de it-infrastructuur van de multinational te beheren. Ook werd de toegangssleutel en geheime sleutel voor het zakelijke AWS-account van Viacom aangetroffen. Daarmee had een aanvaller servers, opslag en databases onder het AWS-account kunnen compromitteren. Sommige van de scripts die werden gevonden suggereren dat Viacom voor reguliere back-ups gebruikmaakt van GPG-encryptie. In de bestanden werden echter ook GPG-decryptiesleutels ontdekt.

Tevens werden allerlei configuratiebestanden en scripts aangetroffen waar een aanvaller misbruik van had kunnen maken. Viacom werd op 31 augustus ingelicht en wist het probleem binnen aantal uur te verhelpen. Hoe het lek mogelijk was laat UpGuard niet weten, maar de afgelopen maanden werden bij meer organisaties onbeveiligde S3-buckets aangetroffen. In die gevallen waren de standaardinstellingen van de S3-bucket aangepast zodat de informatie voor iedereen op internet toegankelijk was. Alleen het kennen van de url was voldoende.

Reacties (8)
20-09-2017, 22:20 door Anoniem
En alweer AWS S3.
Ik denk dat dit zeker de 10e al is in 2 maanden tijd i.c.m. AWS S3.

Blijkbaar niet veilig omdat... iemand een idee waarom AWS S3 niet veilig is? Te ingewikkeld?
20-09-2017, 22:43 door ph-cofi
Het gaat om bewust door de huurder "opengezette" buckets, waarbij alleen de kennis van de URL volstaat. Ik begrijp uit een artikel uit 2013 dat zoeken naar dergelijke cloud opslag toen al een feestje was:
https://nakedsecurity.sophos.com/2013/03/29/amazon-s3-cloud-storage-data-leak/
21-09-2017, 07:07 door karma4
Je kunt het ook zien als een gevolg van falend intern ict mensen.
Reactie:
- Dan doen we het zelf wel in de Cloud.
- Veel goedkoper en geen last van die ict-er die de boel blokkeren.
- De cloud is veilig want zij doen alles wel voor de afscherming
21-09-2017, 08:44 door Anoniem
Door Anoniem: En alweer AWS S3.
Ik denk dat dit zeker de 10e al is in 2 maanden tijd i.c.m. AWS S3.

Blijkbaar niet veilig omdat... iemand een idee waarom AWS S3 niet veilig is? Te ingewikkeld?

Omdat beheerders totaal geen idee hebben wat ze aan het doen zijn.
Standaard staat de S3 namelijk gewoon secure dicht, tenzij je aanpassingen doet. En het wordt al heeeeeeel veel gebruikt, laten we dat niet vergeten. Het aantal incidenten is nog betrekkelijk laag, maar soms vinden ze wel plaats.

Waarschijnlijk is het zo iets als...
Het werkt niet,
even een chmod 777 * of we geven even het account domain admin rechten.
Hee het werkt nu wel.
Mooi volgende probleem.
21-09-2017, 10:36 door Anoniem
Door karma4: Je kunt het ook zien als een gevolg van falend intern ict mensen.
Reactie:
- Dan doen we het zelf wel in de Cloud.
- Veel goedkoper en geen last van die ict-er die de boel blokkeren.
- De cloud is veilig want zij doen alles wel voor de afscherming
Als je maar genoeg recreatieve pilletjes slikt kun je alles zien. Wil niet zeggen dat het ook maar enige connectie met de werkelijkheid heeft. Tenzij je kennis hebt van hoe het er intern aan toe gaat valt er niets zinnigs over te zeggen, dus wat je hier roept is wilde speculatie.

Het zou evengoed kunnen dat dit precies is wat management wilde hebben ("geen gezeur met wachtwoorden!") of wellicht is het opgezet door de interne ICT-afdeling ("we zijn modern! met cloud!"), of wat dan ook. Dat de data lijkt op incrementele backups wijst eerder in de laatste richting dan jouw ideetje, maar het hoeft niet. Het enige dat je met zekerheid kan zeggen is dat er data toegankelijk was voor in principe iedereen, die dat niet had mogen zijn. Hoe dat zo gekomen is, valt niet op te maken.

Dat "cloud" geen automatisch panacea is, dat wisten we al. Hoe het in dit geval precies mis is gegaan, dat weten we niet.
21-09-2017, 18:43 door karma4
Door Anoniem:
Als je maar genoeg recreatieve pilletjes slikt kun je alles zien. Wil niet zeggen dat het ook maar enige connectie met de werkelijkheid heeft. Tenzij je kennis hebt van hoe het er intern aan toe gaat valt er niets zinnigs over te zeggen, dus wat je hier roept is wilde speculatie. ....
Als je maar genoeg van die pilletjes slikt is je waarneming buiten de realiteit.
Ik heb genoeg gezien en meegemaakt en dat is helaas gewoon de realiteit. Grote organisaties de manipulaties met architecten leverancjiers fusies en splitsingen. Het is dd belevingswereld in de lijn. Durf wat verder te kijken da je eigen technische speeltjes. Heel verhelderend, zouden er meer moeten doen.
Ik loop geheel buiten die dingen, zelfs een paracetemolletje is vele jaren terug dus geen last van dat soort zaken.
21-09-2017, 19:17 door Anoniem
Door karma4: Ik heb genoeg gezien en meegemaakt en dat is helaas gewoon de realiteit.
Het gebeurt. Maar je weet niet of het hier ook het geval is. Hou vol van wel en je kletst uit je nek.
22-09-2017, 18:30 door karma4 - Bijgewerkt: 22-09-2017, 18:51
Door Anoniem:
Door karma4: Ik heb genoeg gezien en meegemaakt en dat is helaas gewoon de realiteit.
Het gebeurt. Maar je weet niet of het hier ook het geval is. Hou vol van wel en je kletst uit je nek.
Als ik op deze manier uit mijn nek klets dan zijn er grote groepen reaguurders die nog meer onzin aandragen.
Ik zie gewoonlijk enkel drogredenaties en geloofsovertuigingen als de enige echte waarheid verkondigd worden.

Onderbouw nu eens met argumenten.
- waarom een groot bedrijf als Viacom met interne en externe auditing zo'n onbekende situatie hebben.
-als het wel een bekende situatie voor interne auditing is waarom ze de meest banale controles gemist hebben.

Dan wordt het een beetje inschatten wat het meest waarschijnlijk is aan de hand van eerdere bekende situaties.
Daaruit haal je dan een advies / conclusie.
Ken je het drie deuren probleem?
Ken je de betekenis en invulling van statistisch relevant?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.