Nigeriaanse luchtvaartmaatschappij lekte klantdata via S3-bucket
De Nigeriaanse luchtvaartmaatschappij Arik Air heeft van zeker tienduizenden klanten de gegevens gelekt, waaronder ook van Nederlanders. Dat ontdekte Justin Paine, hoofd Trust & Safety bij internetbedrijf Cloudflare. Paine vond een onbeveiligde S3-bucket met 994 CSV-bestanden die voor iedereen toegankelijk was.
Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De bucket van Arik Air was voor iedereen toegankelijk. Alleen het kennen van de url was voldoende om toegang te krijgen. Paine vond de bucket op 6 september. De in de bucket aangetroffen CSV-bestanden bleken allerlei klantgegevens te bevatten, zoals namen, e-mailadressen, ip-adressen, hash van de creditcard van de klant en allerlei andere gegevens.
Het gaat om gegevens van klanten die tussen 31 december 2017 en 16 maart 2018 een ticket bij de luchtvaartmaatschappij hebben gekocht. Paine laat weten dat hij in de CSV-bestanden 54.000 unieke namen aantrof. Aan de andere kant maakt hij ook melding van honderdduizenden e-mailadressen die stonden vermeld. Verder bevatte de data ook het land van herkomst van de klant. De meeste klanten zijn uit Nigeria afkomstig, maar in ruim 3.000 gevallen gaat het om Nederlanders.
Paine probeerde Arik Air te waarschuwen, maar dit bleek een lastig proces. Op 6 september verstuurde hij een bericht via Facebook, gevolgd door een bericht naar Arik Air-medewerkers op LinkedIn. Ook verstuurde hij e-mails, die niet konden worden afgeleverd. Op 17 september ontving hij een reactie op Facebook en kreeg een e-mailadres om het probleem te melden. Dit leverde in eerste instantie geen reactie op. Het securitycontact van Arik Air liet op 24 september weten dat de melding werd bekeken. Vervolgens bleef het stil, maar tussen 24 september en 10 oktober is de bucket beveiligd.
Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.
Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.
Nee hoor. Het zijn gewoon eenvoudige vinkjes en de Everyone group is een aparte regel (en staat default uit volgens mij). Zo duidelijk als het maar kan en ik vraag me af hoe iemand dit verkeerd kan doen.
Kennelijk is de default beveiliging (niet voor onbevoegden toegankelijk) zo moeilijk aan te passen aan de wensen van de gebruikers, dat de eenvoudigste optie is, om hem maar voor heel de wereld open te zetten.
Nee hoor. Het zijn gewoon eenvoudige vinkjes en de Everyone group is een aparte regel (en staat default uit volgens mij). Zo duidelijk als het maar kan en ik vraag me af hoe iemand dit verkeerd kan doen.
Je wilt niet weten hoeveel "klikkers" er werkzaam zijn in de IT met weinig ervaring. Ingegeven door onrealistische eisen van management, te lage lonen, hoogconjunctuur (dus omscholen en meteen achter het toetsenbord zitten, want we hebben mensen nodig!) en weet ik veel wat. Jeueuj, allemaal naar de cloud jongens, even wat feeling krijgen met de omgeving, en we kunnen het wel. Met als gevolg deze rotzooi. Vroeger mocht je bij ons bedrijf als nieuweling 3 maanden niet met je handen aan de systemen komen en alleen meekijken. Slechts de allereenvoudigste dingen mocht je zelf. De snelheid waarmee nu iedere koekenbakker onderdeel kan uitmaken van een DevOps team en een server op kan spinnen de cloud (zonder de vereiste controls op infraniveau natuurlijk) is niet te overzien. En dan gaat dit natuurlijk gebeuren.
en waarom draaien er 1 op de 20 onbeveiligde S3 buckets?
S3 buckets in de cloud, die voor elke gek open staan?
Ja lastig, dat personeel, dat het deed eer de cloud kwam en nu wegbezuinigd kon worden.
Zonder cloud is het puur een verhaaltje van kosten en baten, denkt men.
Later komt de leidinggevende-beslisingnemer er pas achter dat de kosten nog steeds voor de baat dreigen uit te gaan,
Incompetent moest klikken, klikt en dat komt het bedrijf dan zeer duur te staan op????
Wat is het uitgerekend per GDPR/AVG overtreding voor een geniddelde S3 bucket data-breach?
Toch wat meer dan intern competente IT-staff aanhouden.
Tel uit je korte termijn winst en verlies op de lange termijn.
Dom, dom, dom, maar ja, wie zei dat ook al weer,
dat de gelovigen in dozen-schuivers en one-click-oplossingen erg slim zijn?
Ik zei van niet, maar het is inherent aan de menselijke natuur.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
