image

Onderzoeker vindt AWS-keys Intel en Amazon in Python Package Index

dinsdag 10 januari 2023, 15:01 door Redactie, 2 reacties

Een Python-ontywikkelaar heeft in de packages die via de Python Package Index (PyPI) worden aangeboden tientallen werkende AWS access keys gevonden, onder andere van Amazon, Intel, de Australische overheid en verschillende universiteiten. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages.

Tom Forbes ontwikkelde een tool om alle via PyPI aangeboden packages op de aanwezigheid van AWS acces keys te scannen. Via deze keys kan er toegang tot allerlei AWS-services worden verkregen. Iets wat niet de bedoeling is en vergaande gevolgen kan hebben. Toch blijkt het nog geregeld voor te komen dat ontwikkelaars deze keys achterlaten. Volgens Forbes is het redelijk eenvoudig om de aanwezigheid van AWS-keys te detecteren.

Via 11 van de in totaal 57 gevonden actieve AWS-keys kon er als root toegang worden verkregen. 22 waren er voor service-accounts en 18 voor gebruikersaccounts. Volgens Forbes is de aanwezigheid van de keys toe te schrijven aan onbedoelde aanpassingen of het bundelen van bestanden, testdata en "legitiem" gebruik. Het gaat dan om keys die worden gebruikt voor het uploaden van tijdelijke bestanden naar de S3-dataopslag van Amazon.

Reacties (2)
10-01-2023, 18:44 door Anoniem
Je verwacht het niet.
10-01-2023, 22:49 door johanw
En kun je daar wat mee? Ik kreeg een tijdje geleden mail van Hithub dat mijn Google maps API key in het code repository stond. Maar dat is niet erg, daar kun je niks mee want die is gebonden aan de key waar ik Android apps mee sign en die staat natuurlijk nergens online (hoop ik).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.