Wieviel Anteil hat AWS

Mal abgesehen von der mangelnden Sorgfalt des Kunden Nextmotion,
aber AWS sollte doch per se Ports erst nach dringlichen Nachfragen offen schalten und zusätzlich noch ein Token standardmässig benutzen?

Naja, der Artikel gibt nicht wirklich viele Informationen her wo die Sicherheitslücke genau bestand. Zum einen wird von einem Port-Scan geschrieben welcher eine Datenbank identifiziert bei der sich nachträglich herausgestellt hat, dass sie keine Authentifizierung benötigt hat.

Im originalen Artikel von vpnmentor ist es deutlich besser beschrieben.

Nextmotion hat den S3 Bucket (einen reinen Object-Storage) als Datenbank missbraucht. Wahrscheinlich war jeder Datenbank Eintrag ein File (Object). Diese S3-Bucket sind per Standard nicht öffentlich zugänglich.

Man kann jedoch S3-Buckets explizit als öffentlich deklarieren, dass bedeutet jeder kann über eine REST-API auf die Objekte zugreifen und diese listen. Das wurde hier anscheinend getan. Wahrscheinlich weil man zu faul oder zu dumm war, sich mit der Authentifizierung innerhalb AWS auseinender zu setzen. Oder aber weil man es prototypisch während der Entwicklungszeit dies testen wollte und keiner mehr auf die Idee kam den Bucket auf private umzustellen.

So oder so, extreme Schlamperei und Inkompetenz von Nextmotion. Die hatten nicht mal den Hauch eines Audits bevor sie mit Patientendaten "spielen" durften. Das dies kein juristisches Nachspiel hat lässt mich mit dem Kopf schütteln.



1 mal bearbeitet, zuletzt am 15.02.20 12:33 durch ullikoch.

ullikoch schrieb:
--------------------------------------------------------------------------------
> Naja, der Artikel gibt nicht wirklich viele Informationen her wo die
> Sicherheitslücke genau bestand. Zum einen wird von einem Port-Scan
> geschrieben welcher eine Datenbank identifiziert bei der sich nachträglich
> herausgestellt hat, dass sie keine Authentifizierung benötigt hat.
>
> Im originalen Artikel von vpnmentor ist es deutlich besser beschrieben.
>
> Nextmotion hat den S3 Bucket (einen reinen Object-Storage) als Datenbank
> missbraucht. Wahrscheinlich war jeder Datenbank Eintrag ein File (Object).
> Diese S3-Bucket sind per Standard nicht öffentlich zugänglich.
>
> Man kann jedoch S3-Buckets explizit als öffentlich deklarieren, dass
> bedeutet jeder kann über eine REST-API auf die Objekte zugreifen und diese
> listen. Das wurde hier anscheinend getan. Wahrscheinlich weil man zu faul
> oder zu dumm war, sich mit der Authentifizierung innerhalb AWS auseinender
> zu setzen. Oder aber weil man es prototypisch während der Entwicklungszeit
> dies testen wollte und keiner mehr auf die Idee kam den Bucket auf private
> umzustellen.
>
> So oder so, extreme Schlamperei und Inkompetenz von Nextmotion. Die hatten
> nicht mal den Hauch eines Audits bevor sie mit Patientendaten "spielen"

ok danke

> juristisches Nachspiel

lt Artikel ist damit zu rechnen

Amazon kann man hier keinen Strick draus drehen. Die haben Dutzende Tutorials und Werkzeuge, damit man die Berechtigungen vernünftig verwalten kann. Das gleiche gilt auch für Google und Microsoft. Ich vermute, dass jemand während der frühen Entwicklung erst einmal weitreichende Leserechte auf das bucket eingeräumt hat und die dann nach Start der Produktion vergessen hat wieder einzuschränken. Außerdem hat man Object Storage als Datenbank missbraucht, was entweder für Faulheit oder grobe Inkompetenz spricht.