Aanvallers kunnen verlaten Amazon S3-buckets opnieuw registreren en vervolgens gebruiken voor supplychain-aanvallen, zo waarschuwen onderzoekers van securitybedrijf watchTowr op basis van eigen onderzoek. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Bij het aanmaken van een bucket moet er een naam worden gekozen. De onderzoekers vonden honderdvijftig namen van S3-buckets die eerder waren gebruikt voor commerciële en opensourcesoftwareproducten, overheden en infrastructuur deployment/update pipelines, maar vervolgens waren verlaten.

Vervolgens besloten de onderzoekers deze bucketnamen opnieuw te registreren. Via de logs konden ze vervolgens allerlei requests om bestanden zien. Het ging dan om het ip-adres dat het verzoek deed, alsmede de inhoud van het verzoek, zoals bestandsnaam, path en de naam van de S3-bucket zelf. Over een periode van twee maanden ontvingen de onderzoekers naar eigen zeggen meer dan acht miljoen http-requests voor allerlei zaken. Het ging onder andere om requests voor software-updates, JavaScript-bestanden, SSLVPN-serverconfiguraties en vm-images,

De onderzoekers stellen dat ze op deze manier allerlei malafide updates en bestanden onder de betreffende projecten en organisaties hadden kunnen verspreiden. Op basis van de ip-adressen stellen de onderzoekers dat de requests afkomstig waren van overheidsinstanties uit de VS. waaronder NASA en allerlei laboratoria, het Verenigd Koninkrijk, Polen, Australië, Zuid-Korea, Turkije, Taiwan en Chili, alsmede militaire netwerken, Fortune 500-bedrijven, betalingsverwerkers, banken, financieel dienstverleners, universiteiten, makers van chatapps, casino's en cybersecuritybedrijven.

Na te zijn ingelicht besloot Amazon de betreffende S3-buckets te 'sinkholen', zodat het verkeer op servers van Amazon uitkomt. De onderzoekers claimen dat hun onderzoek in de verkeerde handen tot zeer grootschalige supplychain-aanvallen had kunnen leiden.