Durch falsch konfigurierte Speicher-Buckets bei mehreren großen Cloud-Anbietern sind 200 Milliarden Dateien öffentlich einsehbar.Forscher der Cybersicherheitsfirma Cyble warnen vor einem massiven Datenleck in Cloud-Speichern. Bei einer Schwachstellenanalyse identifizierten sie insgesamt mehr als 660.000 ungeschützte Buckets, die auf sieben große Cloud-Plattformen verteilt sind. Darunter sollen sich mehr als 200 Milliarden gefährdete Dateien befinden. Besonders brisant: Nach Angaben der Analysten umfassen die Dateien auch vertrauliche Dokumente, Zugangsdaten, Quellcode und interne Backups. Bei der Suche nach Quellcode in der Programmiersprache Go fand Cyble 5,6 Millionen Treffer. Die Analyse nach Umgebungsvariablen mit Anmeldeinformationen (‘env credentials”) ergab rund 110.000 Funde, und bei der Kategorie ‘vertrauliche Dateien” wurden über 1,6 Millionen Ergebnisse gezählt.’Die Dimension dieses Lecks spiegelt das enorme Ausmaß der versehentlichen Datenpreisgabe im Internet wider, bei der Daten aufgrund von Fehlkonfigurationen oft öffentlich zugänglich bleiben”, betonen die Sicherheitsspezialisten. Laut Forschungsbericht ist die Zahl der falsch konfigurierter Cloud-Speicher-Buckets deutlich gestiegen. Demnach gab es im August 2024 bereits mehr als 500.000 ungeschützte Speicher-Buckets. Gegenmaßnahmen: Um sich vor solchen Risiken zu schützen, empfehlen Cloud-Anbieter deshalb jeweils eigene, möglichst einheitliche Verwaltungsmodelle:
Google rät beispielsweise zur ausschließlichen Nutzung der Identitäts- und Zugriffsverwaltung (IAM), um Berechtigungen zentral zu regeln. Nach Ansicht des Tech-Giganten sorgt die Kombination aus IAM und Zugriffskontrolllisten (ACLs) zwar für mehr Flexibilität, erhöht aber auch die Komplexität und damit das Risiko versehentlicher Datenfreigaben. Amazon verfolgt bei S3 einen ähnlichen Ansatz. Hier werden Zugriffe über detaillierte Richtlinien gesteuert, die sich auf Buckets oder einzelne Identitäten innerhalb des IAM-Systems beziehen lassen.Microsoft empfiehlt für Azure Storage den Einsatz von Microsoft Entra ID in Kombination mit verwalteten Identitäten, um Autorisierungen sicher und nachvollziehbar zu gestalten.
First seen on csoonline.com
Jump to article: www.csoonline.com/article/3989362/massives-datenleck-in-cloud-speichern.html
