image

Nigeriaanse luchtvaartmaatschappij lekte klantdata via S3-bucket

woensdag 31 oktober 2018, 11:36 door Redactie, 6 reacties

De Nigeriaanse luchtvaartmaatschappij Arik Air heeft van zeker tienduizenden klanten de gegevens gelekt, waaronder ook van Nederlanders. Dat ontdekte Justin Paine, hoofd Trust & Safety bij internetbedrijf Cloudflare. Paine vond een onbeveiligde S3-bucket met 994 CSV-bestanden die voor iedereen toegankelijk was.

Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De bucket van Arik Air was voor iedereen toegankelijk. Alleen het kennen van de url was voldoende om toegang te krijgen. Paine vond de bucket op 6 september. De in de bucket aangetroffen CSV-bestanden bleken allerlei klantgegevens te bevatten, zoals namen, e-mailadressen, ip-adressen, hash van de creditcard van de klant en allerlei andere gegevens.

Het gaat om gegevens van klanten die tussen 31 december 2017 en 16 maart 2018 een ticket bij de luchtvaartmaatschappij hebben gekocht. Paine laat weten dat hij in de CSV-bestanden 54.000 unieke namen aantrof. Aan de andere kant maakt hij ook melding van honderdduizenden e-mailadressen die stonden vermeld. Verder bevatte de data ook het land van herkomst van de klant. De meeste klanten zijn uit Nigeria afkomstig, maar in ruim 3.000 gevallen gaat het om Nederlanders.

Paine probeerde Arik Air te waarschuwen, maar dit bleek een lastig proces. Op 6 september verstuurde hij een bericht via Facebook, gevolgd door een bericht naar Arik Air-medewerkers op LinkedIn. Ook verstuurde hij e-mails, die niet konden worden afgeleverd. Op 17 september ontving hij een reactie op Facebook en kreeg een e-mailadres om het probleem te melden. Dit leverde in eerste instantie geen reactie op. Het securitycontact van Arik Air liet op 24 september weten dat de melding werd bekeken. Vervolgens bleef het stil, maar tussen 24 september en 10 oktober is de bucket beveiligd.

Reacties (6)
31-10-2018, 11:45 door Anoniem
Deze items komen al lange voor dus ik vraag mij dan ook bij ieder bericht af: wat is de reden dat Amazon het by-design niet dicht zet? Blijkbaar zijn een aardig deel van de gebruikers te dom om het zelf te doen.
31-10-2018, 12:40 door Korund - Bijgewerkt: 31-10-2018, 12:43
Dit gebeurt echt wel vaak: https://www.google.com/search?q=privacy+leak+s3+bucket

Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.
31-10-2018, 13:56 door -karma4
Door Korund: Dit gebeurt echt wel vaak: https://www.google.com/search?q=privacy+leak+s3+bucket

Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.

Nee hoor. Het zijn gewoon eenvoudige vinkjes en de Everyone group is een aparte regel (en staat default uit volgens mij). Zo duidelijk als het maar kan en ik vraag me af hoe iemand dit verkeerd kan doen.
31-10-2018, 13:59 door Anoniem
Amazon doet zich voor alsof het een hele goede expertise op het gebied van beveiliging heeft netzoals andere bedrijven dat doen (bijvoorbeeld Apple) om zo beveiliging als Marketing tool intezetten.
31-10-2018, 15:07 door Anoniem
Door The FOSS:
Door Korund: Dit gebeurt echt wel vaak: https://www.google.com/search?q=privacy+leak+s3+bucket

Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.

Nee hoor. Het zijn gewoon eenvoudige vinkjes en de Everyone group is een aparte regel (en staat default uit volgens mij). Zo duidelijk als het maar kan en ik vraag me af hoe iemand dit verkeerd kan doen.

Je wilt niet weten hoeveel "klikkers" er werkzaam zijn in de IT met weinig ervaring. Ingegeven door onrealistische eisen van management, te lage lonen, hoogconjunctuur (dus omscholen en meteen achter het toetsenbord zitten, want we hebben mensen nodig!) en weet ik veel wat. Jeueuj, allemaal naar de cloud jongens, even wat feeling krijgen met de omgeving, en we kunnen het wel. Met als gevolg deze rotzooi. Vroeger mocht je bij ons bedrijf als nieuweling 3 maanden niet met je handen aan de systemen komen en alleen meekijken. Slechts de allereenvoudigste dingen mocht je zelf. De snelheid waarmee nu iedere koekenbakker onderdeel kan uitmaken van een DevOps team en een server op kan spinnen de cloud (zonder de vereiste controls op infraniveau natuurlijk) is niet te overzien. En dan gaat dit natuurlijk gebeuren.
31-10-2018, 17:55 door Anoniem
Waarom investeren zo vaak nog in zoveel iAAS in de cloud
en waarom draaien er 1 op de 20 onbeveiligde S3 buckets?

S3 buckets in de cloud, die voor elke gek open staan?
Ja lastig, dat personeel, dat het deed eer de cloud kwam en nu wegbezuinigd kon worden.

Zonder cloud is het puur een verhaaltje van kosten en baten, denkt men.
Later komt de leidinggevende-beslisingnemer er pas achter dat de kosten nog steeds voor de baat dreigen uit te gaan,

Incompetent moest klikken, klikt en dat komt het bedrijf dan zeer duur te staan op????
Wat is het uitgerekend per GDPR/AVG overtreding voor een geniddelde S3 bucket data-breach?

Toch wat meer dan intern competente IT-staff aanhouden.
Tel uit je korte termijn winst en verlies op de lange termijn.

Dom, dom, dom, maar ja, wie zei dat ook al weer,
dat de gelovigen in dozen-schuivers en one-click-oplossingen erg slim zijn?

Ik zei van niet, maar het is inherent aan de menselijke natuur.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.