Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

17.000 websites besmet via verkeerd ingestelde S3-buckets

donderdag 11 juli 2019, 15:05 door Redactie, 26 reacties

Criminelen hebben via verkeerd ingestelde Amazon S3-buckets op 17.000 websites kwaadaardige code weten te plaatsen die creditcardgegevens en andere persoonlijke data van bezoekers steelt. Amazon Simple Storage Service (S3) is een cloudopslagdienst die door tal van organisaties wordt gebruikt.

Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. Criminelen zoeken actief naar toegankelijke S3-buckets waarvan iedereen de bestanden kan bekijken en wijzigen. Specifiek wordt er naar JavaScript-bestanden gezocht, zo stelt securitybedrijf RiskIQ.

De aanvallers downloaden deze bestanden en voorzien die van kwaadaardige code die invoer van klanten onderschept. Vervolgens worden de aangepaste JavaScript-bestanden weer terug in de S3-bucket geplaatst. De code in de S3-bucket wordt weer geladen door de website. De aangepaste JavaScript-code zorgt er echter voor dat invoer op betaalpagina's van webwinkels en andere websites wordt onderschept en naar de aanvallers gestuurd.

Door het aanpassen van de code in de S3-buckets draait er op meer dan 17.000 domeinen kwaadaardige JavaScript-code. Veel van deze gecompromitteerde websites beschikken niet over een betaalpagina. "Het gemak waarmee de sites via publieke S3-buckets zijn te compromitteren houdt in dat als slechts een klein deel van de injecties betaalgegevens oplevert, het de investering waard is", zegt onderzoeker Yonathan Klijnsma van RiskIQ. Webmasters en beheerders krijgen dan ook het advies om ervoor te zorgen dat hun S3-buckets niet voor iedereen toegankelijk zijn.

Nederlandse phishingsites na gemiddeld 18 uur offline gehaald
QNAP waarschuwt voor ransomware die NAS-systemen besmet
Reacties (26)
11-07-2019, 15:15 door Anoniem
Ze lopen nog steeds achter de feiten aan.

Online organisaties - winkels en bedrijven - cloud-diensten en de bijbehorende websites die door hun zelf
of door andere web-beheerders worden beheerd of onderhouden.

Werk aan de winkel zou ik zeggen !

Burgers worden namelijk verplicht om
een digitaal leven te leiden,wat grotendeels nu over het internet gaat.

Websites die door velen worden bezocht,vul maar in je persoonlijke gegevens
en oh wat jammer,ze zijn nu in handen van criminelen.
11-07-2019, 15:21 door Anoniem
Harry, die S3 bucket, wanneer is die klaar? Donderdag! -nee, dinsdag moet het klaar zijn!

<download een uitrolscriptje van een website, klikkerdeklik, KLAAR!>

Als je leverancier snel en goedkoop is, wart verwacht je dan van de kwaliteit?
11-07-2019, 15:28 door Anoniem
17.000?!!!
Hoe kunnen zoveel mensen zo afgrijselijk zitten te emmeren.
11-07-2019, 16:06 door Anoniem
Een van de grote gevaren in de IT is nog altijd de wijdverbreide middelmaat (of in het ergste geval pure onkunde en onwetendheid) van technici, beheerders, programmeurs, IT managers etc. Ieder bedrijf heeft het over hun technische revolutie, meegaan met cloud, IoT, AI, machine learning, big data en weet ik veel wat, maar de mensen met kennis lijken zo dun bezaaid dat het ene na het andere prutswerk op security gebied wordt afgeleverd. Een beetje aanrommelen in de interface, klikkerdeklik, her en der wat best practices volgen en we zijn klaar! Er loopt zoveel technisch middelmatig volk rond, dat de stroom aan berichten met dezelfde strekking als het bovenstaand bericht nooit op zal houden. Het blijft dweilen met de kraan open. Ik ben tot mijn pensioen verzekerd van werk, zoveel is zeker.
11-07-2019, 16:07 door Anoniem
Cloud is leuk, cloud is fijn. Nooit zal uw data meer veilig zijn.
11-07-2019, 18:40 door Anoniem
Volgens mij heb ik ooit gelezen dat de default bij S3-buckets was dat er juist 'alles open staat'. Misschien laat mijn geheugen mij in de steek, of is de default gewijzigd in de loop der tijd.
11-07-2019, 19:32 door karma4
Door Anoniem:...Er loopt zoveel technisch middelmatig volk rond, dat de stroom aan berichten met dezelfde strekking als het bovenstaand bericht nooit op zal houden. Het blijft dweilen met de kraan open. Ik ben tot mijn pensioen verzekerd van werk, zoveel is zeker.
Er is nog genoeg te doen zonder al dat dweilen. Overigens met je constatering heb je gelijk.
12-07-2019, 08:00 door [Account Verwijderd] - Bijgewerkt: 12-07-2019, 08:14
Door Anoniem: Een van de grote gevaren in de IT is nog altijd de wijdverbreide middelmaat (of in het ergste geval pure onkunde en onwetendheid) van technici, beheerders, programmeurs, IT managers etc.

Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? Een eerste signaal dat er iets niet klopt is vaak het gebrekkige Nederlands van dergelijke lieden. Ik heb het niet over mensen voor wie Nederlands niet hun moedertaal is. Nee, het gaat over mensen die niet eens in staat zijn gebleken om hun moedertaal onder de knie te krijgen. En pas verder op voor de 'papieren tijger'. Dit soort mensen verstoppen zich graag achter veel papierwerk en ontwijken, met veel gedraai en mistige uitspraken, alle pogingen om erachter te komen wat ze nou precies bedoelen. Ze zijn mijlenver van de werkelijkheid verwijderd, je ziet ze vaak in management en consultancy posities en uiteindelijk blijken ze alleen maar heel veel geld te hebben gekost.
12-07-2019, 10:08 door karma4
Door En Rattshaverist:Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? ....
Belangrijk kenmerk: gedrag als een evangelist.

Autisten zijn veel meer gericht op het wel goed te doen ondanks alle ondergravingen.
Je vind de echte klokkenluiders in die groep.
12-07-2019, 12:07 door Anoniem
Door karma4:
Belangrijk kenmerk: gedrag als een evangelist.
Nosce Te Ipsum
12-07-2019, 12:58 door Anoniem
@karma4,

Hier staat toch duidelijk beschreven welke maatregelen men kan nemen
om het "de sleutel ligt onder de bloempot rechts van het vliegenkastje"
verhaal ietwat ingewikkelder te maken,

Zie: https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/

Want gewapend met de info uit de url hierboven, is deze query natuurlijk peanuts -
29 zoekresultaten, te weten :
https://publicwww.com/websites/cdn-imgcloud.com/
met een sign-up & upgrade zie je nog meer.

Geen wonder vind ik het dan dat urlquery dot net al weken onder vuur ligt
en dan ook niet meer werkt.

Net als destijds bij CleanMX, die als publieke dienst niet te handhaven bleek,
nu kan je alleen nog met een persoonlijk account inloggen om de slechterikjes te zien.

Vreselijke toestand eigenlijk, als je er als malware fighter goed over nadenkt,
Waar zijn de "untouchables"dezer dagen?

Of zijn de cybercriminelen tegenwoordig grotendeels al onaantastbaar?
Dat vraagt toch wel om een handhavingsinspanning,
als het "oorlog" op het Internet is.

Maar neen, als er maar goed verdiend wordt, gebeurt er niet al te veel.

luntrus
12-07-2019, 13:36 door Anoniem
Door Anoniem: Cloud is leuk, cloud is fijn. Nooit zal uw data meer veilig zijn.
Exact het zelfde kan on-prem gebeuren.

Door Anoniem: Volgens mij heb ik ooit gelezen dat de default bij S3-buckets was dat er juist 'alles open staat'. Misschien laat mijn geheugen mij in de steek, of is de default gewijzigd in de loop der tijd.
Staat standaard ook dicht: https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html
12-07-2019, 13:39 door Anoniem
Door En Rattshaverist:
Door Anoniem: Een van de grote gevaren in de IT is nog altijd de wijdverbreide middelmaat (of in het ergste geval pure onkunde en onwetendheid) van technici, beheerders, programmeurs, IT managers etc.

Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? Een eerste signaal dat er iets niet klopt is vaak het gebrekkige Nederlands van dergelijke lieden. Ik heb het niet over mensen voor wie Nederlands niet hun moedertaal is. Nee, het gaat over mensen die niet eens in staat zijn gebleken om hun moedertaal onder de knie te krijgen. En pas verder op voor de 'papieren tijger'. Dit soort mensen verstoppen zich graag achter veel papierwerk en ontwijken, met veel gedraai en mistige uitspraken, alle pogingen om erachter te komen wat ze nou precies bedoelen. Ze zijn mijlenver van de werkelijkheid verwijderd, je ziet ze vaak in management en consultancy posities en uiteindelijk blijken ze alleen maar heel veel geld te hebben gekost.
Tja... De beste kapiteins staan altijd aan wal.


De kapiteins staan mijlenver van de werkelijkheid verwijderd, hebben geen idee waarover men werkelijk praten, of wat een bedrijf werkelijk nodig heeft.

Je ziet ze helaas veel te vaak, evangelist en preken horen daar juist ook vaak bij.
12-07-2019, 15:33 door ph-cofi
De falers op kleine schaal zijn de beheerders van de buckets die ze bewust van de standaard beveiliging afhalen. De faal op grote schaal is Amazon, die op basis daarvan best wel bucketinspectie zou kunnen doen. Samen op met de andere cloud providers om de belangen in balans te houden.
12-07-2019, 17:27 door Anoniem
Juist. Veiligheid of onveiligheid is afhankelijk van de prijs.
Weinig veiligheid op de goedkopere oplossing bij A dot org of B-CDN.
Voor ongeveer 12 keer meer krijg je IDF-grade beveiliging,
maar dan heb je ook wat.

Kwestie van wat wil je er aan uitgeven en hoe belangrijk is het voor je dat je data jouw data blijven.
Denken "het zal wel" helpt in ieder geval niet.

Jodocus Oyevaer
12-07-2019, 19:37 door [Account Verwijderd]
Door Anoniem:
Door En Rattshaverist:
Door Anoniem: Een van de grote gevaren in de IT is nog altijd de wijdverbreide middelmaat (of in het ergste geval pure onkunde en onwetendheid) van technici, beheerders, programmeurs, IT managers etc.

Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? Een eerste signaal dat er iets niet klopt is vaak het gebrekkige Nederlands van dergelijke lieden. Ik heb het niet over mensen voor wie Nederlands niet hun moedertaal is. Nee, het gaat over mensen die niet eens in staat zijn gebleken om hun moedertaal onder de knie te krijgen. En pas verder op voor de 'papieren tijger'. Dit soort mensen verstoppen zich graag achter veel papierwerk en ontwijken, met veel gedraai en mistige uitspraken, alle pogingen om erachter te komen wat ze nou precies bedoelen. Ze zijn mijlenver van de werkelijkheid verwijderd, je ziet ze vaak in management en consultancy posities en uiteindelijk blijken ze alleen maar heel veel geld te hebben gekost.
Tja... De beste kapiteins staan altijd aan wal.


De kapiteins staan mijlenver van de werkelijkheid verwijderd, hebben geen idee waarover men werkelijk praten [sic!], of wat een bedrijf werkelijk nodig heeft.

Je ziet ze helaas veel te vaak, evangelist en preken horen daar juist ook vaak bij.

Kijk, dit is er eentje uit de categorie moedertaal nooit onder de knie gekregen.
13-07-2019, 11:07 door karma4
Door En Rattshaverist:
Tja... De beste kapiteins staan altijd aan wal.

De kapiteins staan mijlenver van de werkelijkheid verwijderd, hebben geen idee waarover men werkelijk praten [sic!], of wat een bedrijf werkelijk nodig heeft.
Je ziet ze helaas veel te vaak, evangelist en preken horen daar juist ook vaak bij.

Kijk, dit is er eentje uit de categorie moedertaal nooit onder de knie gekregen.[/quote]
Goh een anoniempje die een evangelist op de kast krijg.
Wedden dat eentje van die evangelisten er bij gaat halen dat ze allemaal mij zijn.
13-07-2019, 11:55 door karma4 - Bijgewerkt: 13-07-2019, 11:55
nog een aardige … de correlatie is magecart. Websites die gehackt worden. Lamp is niet bij voorbaat veilig.
https://securityaffairs.co/wordpress/88323/hacking/magecart-unprotected-s3-buckets.html
https://www.wired.com/story/british-airways-hack-details/
13-07-2019, 14:19 door Anoniem
@karma4,

En het nare is dat exploit code, die ik scan bij VT nog steeds niet herkend wordt,
terwijl ik het wel via knip en plak van het Internet kan halen.
De source code van de downloader PHP code was onzichtbaar gemaakt voor het blote oog.
Geen detectie.

Zie scan: https://www.virustotal.com/gui/file/f4c0d5c8749d0331b34a6f0effb973cbe87a732c23ba67ff9aa6f632bd68d58f/detection
13-07-2019, 14:31 door [Account Verwijderd] - Bijgewerkt: 13-07-2019, 14:34
Door karma4: nog een aardige … de correlatie is magecart. Websites die gehackt worden. Lamp is niet bij voorbaat veilig.
https://securityaffairs.co/wordpress/88323/hacking/magecart-unprotected-s3-buckets.html
https://www.wired.com/story/british-airways-hack-details/

Logisch redeneren blijft een moeilijk puntje voor jou nietwaar, karma4? Je probeert al spindoctorend verbanden te leggen die er met de beste wil ter wereld gewoon niet zijn. Ik heb een goeie voor jou: ... de correlatie is internet; hackers die hacken. Internet is niet bij voorbaat veilig. Computers ook niet.
13-07-2019, 23:22 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist:Het is grappig (... not) dat het vaak de grootste schertsfiguren zijn die met een grote mond en blitse verhalen vol jargon voor de meeste ellende zorgen. Hoe kan je je als opdracht- of werkgever wapenen tegen dit soort mensen? ....
Belangrijk kenmerk: gedrag als een evangelist.

Tjeez karma4, wat ben jij een ongelofelijke evangelist als het om vermeend evangelisme gaat!
14-07-2019, 09:24 door [Account Verwijderd] - Bijgewerkt: 14-07-2019, 09:25
Door karma4: Wedden dat eentje van die evangelisten er bij gaat halen dat ze allemaal mij zijn.

You're So Vain ... Probably think this song is about you - Carly Simon https://youtu.be/mQZmCJUSC6g
14-07-2019, 10:01 door karma4
Door En Rattshaverist:
Logisch redeneren blijft een moeilijk puntje voor jou nietwaar, karma4? Je probeert al spindoctorend verbanden te leggen die er met de beste wil ter wereld gewoon niet zijn. Ik heb een goeie voor jou: ... de correlatie is internet; hackers die hacken. Internet is niet bij voorbaat veilig. Computers ook niet.
De causatie is Linux evangelisme en het bij voorbaat veilig verklaren omdat het OSS is. Iedereen kan het dan toch … oeps.
Daar heb je drie posts voor nodig? Het lijkt wel een reactie als van aangeschoten iets waar niets meer aan te doen valt.
Ik hoop maar dat die hoed van je verteerbaar is.
14-07-2019, 10:09 door karma4
Door Anoniem: @karma4,
En het nare is dat exploit code, die ik scan bij VT nog steeds niet herkend wordt, terwijl ik het wel via knip en plak van het Internet kan halen.De source code van de downloader PHP code was onzichtbaar gemaakt voor het blote oog...
Luntrus I assume,
Als ik het zo teruglees van magecart, dan richten ze zich niet op bekende kwetsbaarheden maar proberen heel slim in de legale afhandeling te komen.Lukt dat in de opbouw van de webpagina of in een stukje aanpasbare code (die buckets) dan kan alles er nog steeds perfect uit zien als legaal. Dat was wat bij die Prligi terug te lezen is.

Door Anoniem:
...
Kwestie van wat wil je er aan uitgeven en hoe belangrijk is het voor je dat je data jouw data blijven.
Denken "het zal wel" helpt in ieder geval niet.

Jodocus Oyevaer
Prima eens J.O.
14-07-2019, 11:42 door Anoniem
Waar gaat het om en waarom wordt het niet gedetecteerd.
Zoek op
//File Inclusion Exploit for STWC-Counter <= 3.4.0.0
//Found and Exploit Coded by burncycle - burncycle[(at)]robert-beran[(dot)]de
//|
//Vendor: http://www.stwc-counter.de/
//Dork: www.stwc-counter.de
//|
//Bug in "downloadcounter.php":

Al eens langs geweest en misbruikt in exploits in 2007 en in 2012 en nu dus nog een keer.

Waarom is dat nog niet van een pleister voorzien, waarom zet men Cyclone als veilige methode niet in
om deze kwetsbaarheden te kunnen "counteren".

Zoals hier ook steeds weer opgemerkt, is dit inherent aan op PHP gebaseerd CMS
en al bij ons bekend van ver voor 2012: https://www.exploit-db.com/exploits/18355

Met default passwords als bijvoorbeeld "packet" wordt het je als aanvaller wel helemaal makkelijk gemaakt.
Lees: PHP Security & Cracking Puzzles - Auteurs Maxim Kuznetsov, Igor Simdyanov

Bewijst voor mij eens te meer dat een goede zoeker soms gevaarlijker kan zijn dan een hacker.

luntrus
14-07-2019, 14:41 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist:
Door karma4: nog een aardige … de correlatie is magecart. Websites die gehackt worden. Lamp is niet bij voorbaat veilig.
Logisch redeneren blijft een moeilijk puntje voor jou nietwaar, karma4? Je probeert al spindoctorend verbanden te leggen die er met de beste wil ter wereld gewoon niet zijn. Ik heb een goeie voor jou: ... de correlatie is internet; hackers die hacken. Internet is niet bij voorbaat veilig. Computers ook niet.

De causatie is Linux evangelisme en het bij voorbaat veilig verklaren omdat het OSS is. Iedereen kan het dan toch … oeps.

Eerst was het 'de correlatie is magecart' en nu is het weer 'evangelisme', 'voorbaat veilig verklaren' en 'iedereen kan het dan toch'. Je weet halverwege niet meer wat je eerder hebt geschreven en roeptoetert er dan maar weer wat neer?

Door karma4: Daar heb je drie posts voor nodig? Het lijkt wel een reactie als van aangeschoten iets waar niets meer aan te doen valt. Ik hoop maar dat die hoed van je verteerbaar is.

Het waren reacties op meerdere posts. De onzin blijft hetzelfde dus ik had het inderdaad in eentje kunnen beantwoorden. Over die hoed: je hebt nog steeds niet aangetoond dat je ooit professioneel werk hebt verricht. In tegendeel, met dit soort posts maak je dat alleen maar onaannemelijker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

4 reacties
Aantal stemmen: 180
Image
De verkiezingsprogramma's doorgelicht: Deel 1 cybersecurity
25-01-2021 door Redactie

Op woensdag 17 maart mogen alle Nederlanders van achttien jaar en ouder weer naar de stembus voor de Tweede Kamerverkiezingen. ...

28 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 2 privacy
29-01-2021 door Redactie

Nog een aantal weken en dan gaat Nederland weer naar de stembus om een nieuwe Tweede Kamer te kiezen. In aanloop naar de ...

20 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 3 Big Tech
14-02-2021 door Redactie

Het aftellen naar de verkiezingen is begonnen. Nog vier weken en dan mag Nederland in de stemlokalen en per post bepalen wie de ...

9 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter