1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Amazon: AWS-Mitarbeiter…

Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: ZarkRud 24.01.20 - 13:26

    den größten Teil seiner iCloud bei AWS speichert, dann wird das bestimmt die Lust auszulagern dämpfen.

  2. Re: Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: Thomas 24.01.20 - 19:56

    ZarkRud schrieb:
    --------------------------------------------------------------------------------
    > den größten Teil seiner iCloud bei AWS speichert, dann wird das bestimmt
    > die Lust auszulagern dämpfen.


    Was hat denn das eine mit dem anderen zu tun?

    Da hat offensichtlich ein Mitarbeiter aus Versehen einen Teil seines Home-Verzeichnisses in ein öffentliches GitHub-Repo gepushed. Blöd gelaufen, aber das sind ja keine Daten von AWS-Kunden gewesen.

    —Thomas

  3. Re: Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: cruse 24.01.20 - 23:47

    "Upguard verweist auf eine Studie der Staatlichen Universität North Carolina, demnach lassen sich solche Schlüssel innerhalb kürzester Zeit entdecken. Den Forschern sei es gelungen, 99 Prozent der neu hochgeladenen Schlüssel in Echtzeit zu entdecken. Dies passiere jeden Tag tausendfach."

    "Dies passiere jeden Tag tausendfach."

  4. Re: Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: zuschauer 25.01.20 - 02:03

    Thomas schrieb:
    --------------------------------------------------------------------------------
    > ZarkRud schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > den größten Teil seiner iCloud bei AWS speichert, dann wird das bestimmt
    > > die Lust auszulagern dämpfen.
    >
    > Was hat denn das eine mit dem anderen zu tun?
    >
    > Da hat offensichtlich ein Mitarbeiter aus Versehen einen Teil seines
    > Home-Verzeichnisses in ein öffentliches GitHub-Repo gepushed. Blöd
    > gelaufen, aber das sind ja keine Daten von AWS-Kunden gewesen.
    >
    > —Thomas

    Thomas, guckst Du die ersten Zeilen dieses Artikels:

    "Passwörter, private Schlüssel, Daten von AWS-Kunden und eine Führerscheinkopie: Ein AWS-Mitarbeiter hat umfangreiche Daten auf Github veröffentlicht."

    --> das waren keine Kundendaten?

    Warum die eine FS-Kopie hier extra erwähnt wird, weiß wohl nur der Autor...

  5. Re: Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: Thomas 25.01.20 - 05:01

    zuschauer schrieb:
    --------------------------------------------------------------------------------
    > Thomas schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ZarkRud schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > den größten Teil seiner iCloud bei AWS speichert, dann wird das
    > bestimmt
    > > > die Lust auszulagern dämpfen.
    > >
    > >
    > > Was hat denn das eine mit dem anderen zu tun?
    > >
    > > Da hat offensichtlich ein Mitarbeiter aus Versehen einen Teil seines
    > > Home-Verzeichnisses in ein öffentliches GitHub-Repo gepushed. Blöd
    > > gelaufen, aber das sind ja keine Daten von AWS-Kunden gewesen.
    > >
    > > —Thomas
    >
    > Thomas, guckst Du die ersten Zeilen dieses Artikels:
    >
    > "Passwörter, private Schlüssel, Daten von AWS-Kunden und eine
    > Führerscheinkopie: Ein AWS-Mitarbeiter hat umfangreiche Daten auf Github
    > veröffentlicht."
    >
    > --> das waren keine Kundendaten?

    Ich würde empfehlen den Original-Bericht zu lesen, auf dem der Golem-Bericht basiert:
    https://www.upguard.com/breaches/identity-and-access-misstep-how-an-amazon-engineer-exposed-credentials-and-more

    Das waren die Dateien des Mitarbeiters von seinem Laptop, die er wohl aus Versehen in das öffentliche Repo gepushed hat.

    Der einzige Kundenbezug ist offenbar, dass dieser Mitarbeiter auch Kundenkontakt hatte und einige seiner Dokumente Namen und Infos zu diesen Kunden beinhalteten. Das ist wie gesagt nicht gut und AWS-Security hat hier ja wirklich schnell reagiert, aber das ist nicht gleichzusetzen mit Kundendaten, also Daten die Kunden auf AWS gespeichert haben - auf die hat der Mitarbeiter eh keinen Zugriff.

    > Warum die eine FS-Kopie hier extra erwähnt wird, weiß wohl nur der Autor...

    Weil das wohl ein Scan des Führerscheins des AWS-Mitarbeiters war, über den sie ihn identifiziert haben.

    —Thomas

  6. Re: Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: zuschauer 25.01.20 - 14:10

    Thomas schrieb:
    --------------------------------------------------------------------------------

    > Ich würde empfehlen den Original-Bericht zu lesen, auf dem der
    > Golem-Bericht basiert:
    > www.upguard.com
    >
    > Das waren die Dateien des Mitarbeiters von seinem Laptop, die er wohl aus
    > Versehen in das öffentliche Repo gepushed hat.
    >
    > Der einzige Kundenbezug ist offenbar, dass dieser Mitarbeiter auch
    > Kundenkontakt hatte und einige seiner Dokumente Namen und Infos zu diesen
    > Kunden beinhalteten. Das ist wie gesagt nicht gut und AWS-Security hat hier
    > ja wirklich schnell reagiert, aber das ist nicht gleichzusetzen mit
    > Kundendaten, also Daten die Kunden auf AWS gespeichert haben - auf die hat
    > der Mitarbeiter eh keinen Zugriff.
    >
    > > Warum die eine FS-Kopie hier extra erwähnt wird, weiß wohl nur der
    > Autor...
    >
    > Weil das wohl ein Scan des Führerscheins des AWS-Mitarbeiters war, über den
    > sie ihn identifiziert haben.
    >
    > —Thomas

    Danke. Wie aus dem Fazit hervorgeht, gab es einen sehr kritischen Fall, und nun einen "versehentlichen".
    Da Firmen immer noch Menschen beschäftigen - müssen -, kosten die sehr viel Geld und können die Sicherheit gefährden. Die Firmen werden weiter daran arbeiten, daß perfekte Algorithmen in Zukunft die Arbeit erledigen, um beide Störfaktoren zu beseitigen.

    In 2019, a former Amazon employee allegedly stole over a hundred million credit applications from Capital One, illustrating the scale of potential data loss associated with insider threats at such a large and central data processor. In this case, there is no evidence that the user acted maliciously or that any personal data for end users was affected, in part because it was detected by UpGuard and remediated by AWS so quickly. Rather, this case illustrates the value of rapid data leaks detection to prevent small accidents from becoming larger incidents.

  7. Re: Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: Thomas 25.01.20 - 17:28

    zuschauer schrieb:
    --------------------------------------------------------------------------------
    > Danke. Wie aus dem Fazit hervorgeht, gab es einen sehr kritischen Fall, und
    > nun einen "versehentlichen".

    Auch der angesprochen Fall von Capital One war kein „Inside Job“, das war eine ehemalige AWS-Mitarbeiterin, die von Außen eine Schwachstelle in der Konfiguration eines Apache-Moduls (ModSecurity) ausgenutzt hatte um sich illegal Zugriff zu den Daten zu verschaffen.

    Mehr dazu:
    https://krebsonsecurity.com/2019/08/what-we-can-learn-from-the-capital-one-hack/

    > Da Firmen immer noch Menschen beschäftigen - müssen -, kosten die sehr viel
    > Geld und können die Sicherheit gefährden.

    Ja, die eigenen Mitarbeiter sind tatsächlich oft die größte Schwachstelle.

    > In 2019, a former Amazon employee allegedly stole over a hundred million
    > credit applications from Capital One, illustrating the scale of potential
    > data loss associated with insider threats at such a large and central data
    > Processor.

    Ist wie gesagt auch so nicht korrekt, die Frau hat nur bis 2016 bei AWS gearbeitet und keine Insider-Informationen gehabt um die Fehlkonfiguration der WAF von Capital One auszunutzen. Das hätte auch ein beliebiger anderer Angreifer sein können.

    —Thomas

  8. Re: Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: Thomas 25.01.20 - 20:10

    cruse schrieb:
    --------------------------------------------------------------------------------
    > "Upguard verweist auf eine Studie der Staatlichen Universität North
    > Carolina, demnach lassen sich solche Schlüssel innerhalb kürzester Zeit
    > entdecken. Den Forschern sei es gelungen, 99 Prozent der neu hochgeladenen
    > Schlüssel in Echtzeit zu entdecken. Dies passiere jeden Tag tausendfach."
    >
    > "Dies passiere jeden Tag tausendfach."

    Was möchtest du uns damit sagen?

    --Thomas

  9. Re: Dürfte nicht das einzigste Leck dieser Art sein. Und wenn man bedenkt, dass z.B. Apple ...

    Autor: cruse 06.02.20 - 08:28

    Thomas schrieb:
    --------------------------------------------------------------------------------
    >
    > Was möchtest du uns damit sagen?
    >
    > --Thomas

    Na, dass das jeden Tag tausendfach passiert ;)
    Ich fand es halt interessant und war schon etwas schockiert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz
  2. Bühler Motor GbmH, Monheim
  3. AB SCIEX Germany GmbH, Darmstadt
  4. Greenpeace e.V., Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Far Cry 5 für 14,99€, Far Cry New Dawn für 17,99€, Far Cry für 3,99€)
  2. 3,99€
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

Galaxy-S20-Serie im Hands-on: Samsung will im Kameravergleich an die Spitze
Galaxy-S20-Serie im Hands-on
Samsung will im Kameravergleich an die Spitze

Mit der neuen Galaxy-S20-Serie verbaut Samsung erstmals seine eigenen Isocell-Kamerasensoren mit hoher Auflösung, auch im Zoombereich eifert der Hersteller der chinesischen Konkurrenz nach. Wer die beste Kamera will, muss allerdings zum sehr großen und vor allem wohl teuren Ultra-Modell greifen.
Ein Hands on von Tobias Költzsch, Peter Steinlechner und Martin Wolf

  1. Micro-LED-Bildschirm Samsung erweitert The Wall auf 583 Zoll
  2. Nach 10 kommt 20 Erste Details zum Nachfolger des Galaxy S10
  3. Vorinstallierte App Samsung-Smartphones schicken Daten an chinesische Firma

Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

  1. Elektromobilität: Umweltbonus gilt auch für Jahreswagen
    Elektromobilität
    Umweltbonus gilt auch für Jahreswagen

    Vom neuen Umweltbonus für Elektroautos können künftig Käufer von Gebrauchtwagen profitieren. Neben einem zeitlichen Limit hat die Bundesregierung eine Obergrenze für die Kilometerzahl und den anrechenbaren Wertverlust festgelegt.

  2. Ausdiskutiert: Sony schließt das Playstation-Forum
    Ausdiskutiert
    Sony schließt das Playstation-Forum

    Falls es technische Probleme mit der Playstation 5 geben sollte, wird man an einer Stelle keine Hilfe finden: im offiziellen Playstation-Forum. Sony will den schon länger nur noch schwach frequentierten Treff schließen.

  3. Alphabet: Google strukturiert Cloud-Business um
    Alphabet
    Google strukturiert Cloud-Business um

    Um Nummer eins im Cloud-Business zu werden, strukturiert Google derzeit um. Auch einige Mitarbeiter müssen gehen. Das Unternehmen will sich dabei auf fünf Kernmärkte konzentrieren.


  1. 18:22

  2. 18:00

  3. 17:45

  4. 17:30

  5. 17:15

  6. 16:39

  7. 16:20

  8. 16:04