Une firme de sécurité trouve des milliers de buckets S3 mal paramétrés avec des infos sensibles

.
Els Bellens

Une entreprise de sécurité a trouvé des milliers de ‘storage buckets’ S3 mal paramétrés, à savoir des dossiers de stockage dans le nuage sur AWS. Les ‘buckets’ contiennent souvent des informations sensibles, susceptibles d’être exploitées pour attaquer les entreprises concernées.

Les buckets sont une catastrophe en devenir, selon Truffle Security, qui a écumé internet à la recherche de dossiers de stockage mal sécurisés. L’entreprise recourt à des moteurs de recherche en mode automatique pour rechercher les dossiers piètrement paramétrés. C’est ainsi qu’elle a déniché quelque 4.000 buckets S3 Amazon ouverts contenant des informations sensibles sur des entreprises, notamment des données de login à des services tels Paypal, Coinbase, Dropbox, Google et Twitter, des credentials pour bases de données et serveurs, des clés de sécurité et des clés API éparpillés sur le net.

Les buckets S3, un support de stockage dans le nuage bien connu d’AWS, permettent de garder des informations publiques ou secrètes. Beaucoup d’entreprises les utilisent par exemple pour partager des donnés, mais les buckets découverts ici sont d’un autre type, selon Truffle Security. La firme déclare avoir trouvé 2,5 ‘secrets’ environ par document analysé.

La firme de sécurité ajoute qu’elle tente de prendre contact avec les entreprises concernées. Au cas où elle n’y arrive pas, elle collabore avec AWS en vue de retirer les buckets du net. Parmi les entreprises en question, il y a aussi des ONG et de petites startups, mais aussi des sociétés figurant sur la liste Fortune 500.

Le fait que des entreprises paramètrent mal leurs buckets S3, n’est pas nouveau. Au cours des années antérieures, des buckets non sécurisés ont par exemple fuité des données de Facebook, des boîtes mail professionnelles et des données d’utilisateurs du Dow Jones. Il faut savoir qu’AWS n’y est pour rien. Le fournisseur ‘cloud’ se contente en effet d’offrir aux utilisateurs des outils de sécurisation de leurs dossiers de stockage. Ces outils sont cependant souvent perdus de vue, ce qui fait que la recherche de dossiers de stockage et de bases de données mal sécurisés s’avère assez facile pour un initié. Fin juillet déjà, on avait par exemple vu un bot détruisant automatiquement des banques de données mal sécurisées (cette fois sur MongoDB et ElasticSearch). Ce bot a entre-temps supprimé du net des milliers de banques de données. Truffle Security n’enlève pas de données, mais met en garde contre le fait que quelqu’un de mal intentionné pourrait utiliser les données comme vecteur d’attaque.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire