Jeden z serwerów Amazon Web Services miał wadliwe zabezpieczenia dostępu. Każdy mógł pobrać dane amerykańskich wyborców.

Amazon Web Services (AWS) jest platformą oferującą usługi przechowywania i przetwarzania danych w chmurze. Z serwerów AWS korzystają najwięksi usługodawcy online, znani na całym świecie. Chodzi m.in. o AirBnB, Netflix, Pinterest i wiele innych firm. Tym samym w AWS znajdują się dane praktycznie wszystkich mieszkańców USA. Tymczasem 6 października firma UpGuard odkryła, że dostęp do nich miał każdy, kto miał założone konto w Amazon Web Services (AWS).

Powodem wycieku danych była najprawdopodobniej wadliwa konfiguracja dostępu do usług S3cloud. Amazon S3 (Amazon Simple Storage Service) pełni rolę nośnika danych w chmurze dla wszelkiego typu informacji przechowywanych i przetwarzanych przez usługodawców online korzystających z AWS. Okazało się, że poprzez subdomenę „alteryxdownload”, należącą do firmy analitycznej Alteryx, możliwe było uzyskanie dostępu do poufnych informacji o konsumentach. Teoretycznie powinno być to  możliwe tylko dla uprawnionych osób. Niestety, z powodu błędnej konfiguracji dostęp do zasobów miał tak naprawdę każdy, kto miał jakiekolwiek konto dostępowe do AWS. A ponieważ rejestracja w AWS jest bezpłatna, to każdy mógł sprawdzić, gdzie mieszkają i co kupują Amerykanie, bowiem w chmurze znalazły się adresy, informacje o posiadanych nieruchomościach i oczywiście dane dotyczące kupowanych rzeczy, czy subskrybowanych usług.

Na serwerze Amazonu znajdował się plik z danymi większości obywateli Stanów Zjednoczonych (fot. UpGuard)

Dane zajmują blisko 35 gigabajtów i pochodzą z 2012 i 2013 roku. Są to informacje bardzo szczegółowe i można z nich wyczytać na przykład to, czy ktoś lubi koty, albo czy czyta książki. Amerykańskich obywateli podzielono na 19 głównych grup i przypisano każdej osobie 71 cech. Informacje zostały zebrane na potrzeby amerykańskiej administracji, która zajmowała się wyborami.

Plik zawiera wrażliwe dane (fot. UpGuard)

Ta sytuacja stawia pod znakiem zapytania bezpieczeństwo w centrach danych obsługujących usługi w chmurze. To już kolejny przypadek dużego wycieku z chmury, możliwe że tym razem najpoważniejszy z dotychczasowych. Miesiąc temu wystąpił wyciek danych z Pentagonu. Prawdopodobnie dane były umieszczone na tym samym niezabezpieczonym serwerze. W tym roku wystąpiło włamanie na konto firmy analitycznej Deloitte na platformie Microsoft Azure.

 

 

 

Źródło: chip