Nieuws
image

Amazon lekt door fout informatie over 31.000 GoDaddy-servers

vrijdag 10 augustus 2018, 14:54 door Redactie, 9 reacties

Een medewerker van Amazon heeft door een fout informatie over 31.000 servers van hostingbedrijf GoDaddy gelekt, alsmede allerlei financiële en bedrijfsgegevens. De gegevens werden door een onderzoeker van securitybedrijf UpGuard gevonden op een onbeveiligde Amazon S3-bucket.

Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens kunnen opslaan. De S3-bucket bleek allerlei informatie over GoDaddy-servers te bevatten, zoals hostnames, besturingssysteem, doel, geheugen, processor en meer. Ook werden er spreadsheets aangetroffen met prijzen en kortingen die het bedrijf van Amazon had gekregen. UpGuard waarschuwde GoDaddy over datalek, maar het duurde meer dan vijf weken voordat de data beveiligd was.

Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. "Echter, door misverstanden of misconfiguraties worden deze instellingen veranderd zodat publieke toegang wordt toegestaan. Dit houdt in dat iedereen die de url van de opslagbucket bezoekt anoniem de inhoud kan bekijken, zonder dat er een wachtwoord is vereist", aldus het securitybedrijf. Amazon laat in een reactie tegenover Engadget weten dat een Amazon-verkoopmedewerker de S3-bucket had aangemaakt en bij deze bucket niet de best practices had gevolgd.

Reacties (9)
10-08-2018, 15:40 door Anoniem
Hahaha nou doen ze het gelukkig ook zelf fout.
Zouden ze dan nu eindelijk eens wat doen aan deze onveilige optie waar andere bedrijven ook al data mee hebben gelekt?
10-08-2018, 16:53 door [Account Verwijderd]
Is het nu echt zo lastig om hier een alert op te zetten, en een overduidelijke visuele warning wanneer je een bucket publiek zet.
Zeker gezien alle problemen met s3 buckets die er de afgelopen jaren zijn geweest zou dit zeker geen overbodige luxe zijn.
10-08-2018, 17:10 door Anoniem
Door Mindfart: Is het nu echt zo lastig om hier een alert op te zetten, en een overduidelijke visuele warning wanneer je een bucket publiek zet.
Zeker gezien alle problemen met s3 buckets die er de afgelopen jaren zijn geweest zou dit zeker geen overbodige luxe zijn.
Uit het artikel op te maken, bestaan er al "best practices"; richtlijnen waaraan de medewerk(st)er zich ook niet aan heeft gehouden. Iemand die daar lak aan heeft, hecht aan een melding of waarschuwing ook niet veel waarde. Althans, dat denk ik.
10-08-2018, 17:39 door Anoniem
Ja dat komt door prutsers die software maken als cyberduck. En als ik daar al twee keer meldt dat standaard alles op everyone read staat, melden ze dat gebruikers dat maar moeten instellen.
Het wordt tijd dat ook gratis software boys eens flink worden aangepakt.
10-08-2018, 17:49 door Anoniem
Een van de functies van de S3 buckets, is dat je er een website in kan hosten.
Of dat je er een bulk static data in kan gooien en die via cloudfront (CDN) wereldwijd "lokaal" (en dus snel) kan aanbieden,

Prima legitieme functies dus.
En die banner krijg je inderdaad te zien als je het via de webinterface doet.

Maar via de API kan je een simpele flag meegeven die altijd ja antwoord op de vragen die langskomen.
(anders gaan alle scripts stuk)

Dus even nadenken voordat je schreeuwt hoe dom het is dat iets werkt zoals het bedoeld is, en dat het ook nog eens doet wat jij denkt dat het niet doet...
11-08-2018, 06:57 door Anoniem
Denk als bedrijf eens goed na wat je allemaal in de cloud hebt staan en welke info daarvan wellicht te gevoelig is. Lekt je emmer niet dan is er nog altijd de kans dat er op Github wat te vinden is of op kekke teamwork en agenda applicaties, etc.
11-08-2018, 14:20 door Anoniem
Door Anoniem: Uit het artikel op te maken, bestaan er al "best practices"; richtlijnen waaraan de medewerk(st)er zich ook niet aan heeft gehouden. Iemand die daar lak aan heeft, hecht aan een melding of waarschuwing ook niet veel waarde. Althans, dat denk ik.
Er zijn nogal wat "best practices" waarin zo weinig inzicht verwerkt is in wat voor fouten mensen makkelijk maken dat ze in de praktijk niet zo best zijn.

Mensen doen de meest simpele dingen verkeerd als ze op het verkeerde moment afgeleid worden, denk maar aan al die e-mails waar Cc in plaats van Bcc is gebruikt. Het probleem daarbij is niet dat mensen laks zijn of niet doorhebben wat de juiste optie is, het probleem is dat mensen hun eigen en elkaars kunnen beoordelen vanuit de gedachte dat ze ongestoord iets kunnen doen en bijzonder slecht in de gaten hebben hoe makkelijk de meest onbenullige dingen mis gaan als die concentratie op het verkeerde moment wordt verstoord.

Als best practices, maar ook bijvoorbeeld user interfaces, daar geen rekening mee houden dan kan je er gif op innemen dat het ook bij goede mensen af en toe misgaat. Dat gebeurt dan ook volop. Ik weet niet of dat hier ook het probleem is, maar het kan heel goed.
12-08-2018, 10:47 door Anoniem
best practices ?! mij werd verteld door een netwerk monsijeur dat ping uit den boze was en het best practise is dat in je netwerk overal te verbieden, want "je kon vroegah toch immers een PoD naar windows sturen"! efin de club heeft nu steevast bij elke glitch op een host allerlij problemen om uit te vogelen of het nu wel of niet een netwerk dingetje is. moraal: best practices veranderen in de tijd en hebben een eindige levensduur en die komt niet overeen met de levensduur van jou carriere dus. altijd best partices tegen het licht houden en kijken of ze nog steeds of uberhaupt wel van toepassing zijn en welke consequenties je hebt als je ze niet opvolgt.

https://en.wikipedia.org/wiki/Ping_of_death

en zoals je dan kunt lezen was ICMP slechts het vehicle en kon je net zo hard die machines nog steeds over de zeik krijgen met een ander protocol, maar ja best practices en ping foei nou toch zeg!

https://web.archive.org/web/19981206105844/http://www.sophist.demon.co.uk/ping/

(btw ik denk dat het destijds vooral voor windows een probleem 'bleef' ivm update dingetjes enzo en dat daarom die beheerder maar vast bleef houden aan die best practices)
12-08-2018, 21:03 door Anoniem
Waarom doet Godaddy zelf niet haar afgenomen diensten van Amazon beheren? Zo moeilijk is dit niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure