image

Databedrijf Attunity lekt terabyte aan back-ups via cloudopslag

vrijdag 28 juni 2019, 13:55 door Redactie, 9 reacties

Bedrijfsdocumenten, systeemwachtwoorden, 750 gigabyte aan mailback-ups en andere gegevens van databedrijf Attunity waren voor iedereen op internet toegankelijk. Onderzoekers van securitybedrijf UpGuard ontdekten drie publiek toegankelijke Amazon S3-buckets van het bedrijf, dat begin dit jaar door het Zweedse data-analyticsbedrijf Qlik werd overgenomen.

Attunity verzorgt data-replicatie, data-integratie en big data-management voor allerlei bedrijven. Naar eigen zeggen is de helft van de Fortune 100 klant van het bedrijf. Halverwege mei ontdekten onderzoekers drie S3-buckets van Attunity. Amazon Simple Storage Service (S3) is een cloudopslagdienst. Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende.

De hoeveelheid gegevens in de drie buckets van Attunity is onbekend, maar onderzoekers besloten een bestand van ongeveer één terabyte te downloaden. Het ging onder andere om mailback-ups van in totaal 750 gigabyte. Ook back-ups van OneDrive-accounts werden aangetroffen. In de back-ups werden wachtwoorden voor Twitter- en vpn-accounts aangetroffen, alsmede allerlei data van werknemers. Het ging onder andere om salarisgegevens, namen en geboortedata. In de buckets vonden de onderzoekers ook inloggegevens voor de SAP-systemen van Attunity. Verder werden er van sommige klanten data aangetroffen, waaronder Netflix. Na te zijn ingelicht door de onderzoekers werden de buckets beveiligd.

Reacties (9)
28-06-2019, 14:31 door stuffy - Bijgewerkt: 28-06-2019, 14:32
Oeps.....

Foutje?


Ze zouden toch beter moeten weten.....
28-06-2019, 21:12 door Anoniem
Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende.

Enige nouance is hier wel op zijn plaats.. S3 buckets stonden tot voor kort standaard open tenzij. Het kennen van de url was de beveiliging... Er is een zoekmachine die deze buckets identificeert. Je hoeft helemaal niets te "onderzoeken"..

https://buckets.grayhatwarfare.com/
29-06-2019, 00:11 door Anoniem
Maar er gaan er ook meer en meer "op slot".
Zoals bijvoorbeeld - https://tempdev.s3-us-west-2.amazonaws.com/ in combinatie met bootstrap.js narigheid.

Het zou wel makkelijk zijn om met een enkele zoekactie en een kant en klaar scriptje zo toegang te krijgen,
volgens het aloude recept zoek de kwetbaarheid via shodan en dan de bijbehorende exploitcode.

Een soort "Zoekt en gij zult vinden. Klopt en u zal opengedaan worden" in digitale zin.

We weten inmiddels de oorzaak van alle ellende, enkele grote partijen in het geheel
verdienen meer aan een partieel onveilig Internet dan aan de veiliger variant.

Dus we zullen dergelijke berichtjes nog wel vaak gaan lezen.

#sockpuppet
29-06-2019, 07:17 door Anoniem
Door Anoniem:
Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende.

Enige nouance is hier wel op zijn plaats.. S3 buckets stonden tot voor kort standaard open tenzij. Het kennen van de url was de beveiliging... Er is een zoekmachine die deze buckets identificeert. Je hoeft helemaal niets te "onderzoeken"..

https://buckets.grayhatwarfare.com/

Security through obscurity.... altijd FOUT!
29-06-2019, 07:45 door [Account Verwijderd]
Door Anoniem:
Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende.

Enige nouance [sic] is hier wel op zijn plaats.. S3 buckets stonden tot voor kort standaard open tenzij.

Weet je dat zeker?

It should be emphasized that a public bucket is not a risk created by Amazon but rather a misconfiguration caused by the owner of the bucket... The default configuration of an S3 bucket is private. Amazon

https://blog.rapid7.com/2013/03/27/open-s3-buckets/
29-06-2019, 09:36 door karma4 - Bijgewerkt: 29-06-2019, 09:38
Door En Rattshaverist:
Weet je dat zeker?

It should be emphasized that a public bucket is not a risk created by Amazon but rather a misconfiguration caused by the owner ...
Het zal een goed commercieel success zijn vanuit Amazon.
Alleen is het een flinke faal voor privacy en security.
Om iets werkend te krijgen heeft men al snel open access I gesteld. Dan doet het het tenminste.
Het is de de standaard bij open source goedkoop en snel.
30-06-2019, 00:00 door Anoniem
Het gemakt dient de mens en eveneens de cybercrimineel of surveillance tracking data grabber, toch?

Veel security is feitelijk op de keper beschouwd bij toepassing "snake oil" gebleken.
Een mooi verhaaltje waar soms doorheen te prikken valt.

Ook alle lappen onvolledig gedocumenteerde of ongedocumenteerde propriety code
heeft de zelfde veiligheidsrisico's mogelijk in zich. Zint eer gij begint is derhalve het credo
of wel fuzz it, Yara't en SNYK ze. Voel het aan de tand.

Onveilige code is vaak als de kaken van de krokodil - krachtig in het neerklappen, minder sterk om open te kunnen sperren
als het getaped (gepatched) is. De bek met tape van de alligator gaat moeilijk open.

luntrus
30-06-2019, 18:31 door Anoniem
Ik hoop dat de systemen van de onderzoekers veilig zijn.
30-06-2019, 22:57 door Anoniem
Die prutsers van cyberduck hebben ook dat als je hun software gebruikt, het standaard voor read everyone staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.