Nigeriaanse luchtvaartmaatschappij lekte klantdata via S3-bucket
De Nigeriaanse luchtvaartmaatschappij Arik Air heeft van zeker tienduizenden klanten de gegevens gelekt, waaronder ook van Nederlanders. Dat ontdekte Justin Paine, hoofd Trust & Safety bij internetbedrijf Cloudflare. Paine vond een onbeveiligde S3-bucket met 994 CSV-bestanden die voor iedereen toegankelijk was.
Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De bucket van Arik Air was voor iedereen toegankelijk. Alleen het kennen van de url was voldoende om toegang te krijgen. Paine vond de bucket op 6 september. De in de bucket aangetroffen CSV-bestanden bleken allerlei klantgegevens te bevatten, zoals namen, e-mailadressen, ip-adressen, hash van de creditcard van de klant en allerlei andere gegevens.
Het gaat om gegevens van klanten die tussen 31 december 2017 en 16 maart 2018 een ticket bij de luchtvaartmaatschappij hebben gekocht. Paine laat weten dat hij in de CSV-bestanden 54.000 unieke namen aantrof. Aan de andere kant maakt hij ook melding van honderdduizenden e-mailadressen die stonden vermeld. Verder bevatte de data ook het land van herkomst van de klant. De meeste klanten zijn uit Nigeria afkomstig, maar in ruim 3.000 gevallen gaat het om Nederlanders.
Paine probeerde Arik Air te waarschuwen, maar dit bleek een lastig proces. Op 6 september verstuurde hij een bericht via Facebook, gevolgd door een bericht naar Arik Air-medewerkers op LinkedIn. Ook verstuurde hij e-mails, die niet konden worden afgeleverd. Op 17 september ontving hij een reactie op Facebook en kreeg een e-mailadres om het probleem te melden. Dit leverde in eerste instantie geen reactie op. Het securitycontact van Arik Air liet op 24 september weten dat de melding werd bekeken. Vervolgens bleef het stil, maar tussen 24 september en 10 oktober is de bucket beveiligd.
Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.
Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.
Nee hoor. Het zijn gewoon eenvoudige vinkjes en de Everyone group is een aparte regel (en staat default uit volgens mij). Zo duidelijk als het maar kan en ik vraag me af hoe iemand dit verkeerd kan doen.
Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.
Nee hoor. Het zijn gewoon eenvoudige vinkjes en de Everyone group is een aparte regel (en staat default uit volgens mij). Zo duidelijk als het maar kan en ik vraag me af hoe iemand dit verkeerd kan doen.
Je wilt niet weten hoeveel "klikkers" er werkzaam zijn in de IT met weinig ervaring. Ingegeven door onrealistische eisen van management, te lage lonen, hoogconjunctuur (dus omscholen en meteen achter het toetsenbord zitten, want we hebben mensen nodig!) en weet ik veel wat. Jeueuj, allemaal naar de cloud jongens, even wat feeling krijgen met de omgeving, en we kunnen het wel. Met als gevolg deze rotzooi. Vroeger mocht je bij ons bedrijf als nieuweling 3 maanden niet met je handen aan de systemen komen en alleen meekijken. Slechts de allereenvoudigste dingen mocht je zelf. De snelheid waarmee nu iedere koekenbakker onderdeel kan uitmaken van een DevOps team en een server op kan spinnen de cloud (zonder de vereiste controls op infraniveau natuurlijk) is niet te overzien. En dan gaat dit natuurlijk gebeuren.
en waarom draaien er 1 op de 20 onbeveiligde S3 buckets?
S3 buckets in de cloud, die voor elke gek open staan?
Ja lastig, dat personeel, dat het deed eer de cloud kwam en nu wegbezuinigd kon worden.
Zonder cloud is het puur een verhaaltje van kosten en baten, denkt men.
Later komt de leidinggevende-beslisingnemer er pas achter dat de kosten nog steeds voor de baat dreigen uit te gaan,
Incompetent moest klikken, klikt en dat komt het bedrijf dan zeer duur te staan op????
Wat is het uitgerekend per GDPR/AVG overtreding voor een geniddelde S3 bucket data-breach?
Toch wat meer dan intern competente IT-staff aanhouden.
Tel uit je korte termijn winst en verlies op de lange termijn.
Dom, dom, dom, maar ja, wie zei dat ook al weer,
dat de gelovigen in dozen-schuivers en one-click-oplossingen erg slim zijn?
Ik zei van niet, maar het is inherent aan de menselijke natuur.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
