jeudi, 25 avril 2024
AccueilStyleTech

Les instantanés Amazon RDS permettent une fuite importante d’informations personnellement identifiables (PII)

Cinquante et une colonnes et 10 000 lignes semblent résumer les offres de location de voitures.

Parmi les offres figurent les noms, les coordonnées et l’état civil des locataires ; événement à louer; secteurs d’enquête (« entreprise », « entreprise », « propriétaire de flotte », « spécifique »); type de catégorie de consommateurs ; marques et modèles automobiles; et même les dates d’expédition prévues – des dizaines de détails personnellement identifiables (PII).

Cette base de données MySQL d’une société de location de voitures et de camions a été exposée pendant un mois complet. Ce n’est qu’un exemple des centaines de bases de données qui sont exposées chaque mois – avec une fuite importante de PII – via les photos d’Amazon Relational Database Service (Amazon RDS), selon une étude publiée aujourd’hui par Mitiga.

« De nombreuses bases de données sont partagées publiquement à tout moment », a déclaré Ofer Maor, CTO de Mitiga, une entreprise de réponse aux incidents dans le cloud. « Certaines sont même partagées pendant de longues périodes, comme des mois ou des années, peut-être accidentellement. Celles-ci peuvent inclure des données délicates et peuvent être facilement accessibles par les acteurs du danger. »

Événement

Sommet sur la sécurité intelligente

Découvrez le rôle critique de l’IA et du ML dans la cybersécurité et des études de cas spécifiques à l’industrie le 8 décembre. Inscrivez-vous dès aujourd’hui pour votre pass totalement gratuit.

Inscrivez-vous maintenant

Découverte d’un problème répandu

Dans le cadre de ses recherches régulières sur les circonstances d’exfiltration de données à partir d’environnements cloud et de son développement de produits, Mitiga s’est essentiellement mise « à la place de l’attaquant « , a déclaré Maor.

Il a notamment étudié des scénarios potentiels pour exfiltrer des informations à partir de bases de données sur Amazon Web Solutions (AWS) et via des photos Amazon RDS.

Une préoccupation que l’entreprise a recherchée pour demander : « Si j’ai une emprise sur le compte et que je peux accéder aux informations RDS, quelles sont les méthodes pour l’exfiltrer ? »

Une La méthode utilisée consistait à prendre une photo de la base de données et ensuite à la partager ouvertement. Comme l’a noté Maor, les scientifiques ont alors demandé : « Et si cela se produisait déjà ? Comment serions-nous capables de détecter cela dans la nature ? »

De plus, au cours des dernières années, l’entreprise a en fait été témoin un certain nombre d’attaques et d’études de recherche, y compris l’utilisation d’images EBS publiques – qui étaient, en réalité, traitées par AWS dans leur journalisation CloudTrail. Cependant, a expliqué Maor, ils ont accordé moins d’attention à un problème qui présentait un risque comparable : les instantanés RDS publics.

« Les organisations doivent connaître l’utilisation abusive potentielle du partage public d’un instantané et prendre des mesures pour minimiser le danger grâce à la détection et l’évitement », a déclaré Maor.

Images RDS décrites

Lancé en octobre 2009, Amazon RDS est une plate-forme populaire en tant que service (PaaS) qui fournit une plate-forme de base de données basée sur quelques moteurs optionnels ( tels que MySQL ou PostgreSQL).

Lors de l’utilisation du service RDS dans AWS, les développeurs peuvent prendre des photos RDS. Il s’agit d’un instantané de volume de stockage qui prend en charge l’intégralité de l’instance de base de données (pas simplement des bases de données individuelles).

« Un instantané RDS est une fonction conviviale qui vous aide à prendre en charge votre base de données », ont écrit les chercheurs de Mitiga Ariel Szarf, Doron Karmi et Lionel Saposnik dans un article.

Ces instantanés peuvent ensuite être partagés entre différents comptes AWS, à l’intérieur ou à l’extérieur de l’organisation sur site. Les images RDS peuvent également être rendues publiques, permettant aux utilisateurs de partager des informations publiques ou une base de données de modèles avec une application.

Une photo RDS publique peut être utile lorsqu’un utilisateur souhaite partager un instantané avec des associés ; cela peut être fait ouvertement pendant quelques minutes seulement.

« Dans ce cas, l’utilisateur peut partager la photo publiquement pendant seulement quelques minutes et croire que tout va bien », a déclaré Maor. « Pire encore, ils pourraient l’oublier. »

Les deux situations peuvent « accidentellement divulguer des données sensibles au monde, même si vous utilisez des configurations de réseau extrêmement sécurisées », ont écrit Szarf, Karmi et Saposnik.

Cela peut être un atout formidable pour un acteur malveillant, que ce soit tout au long de la « phase de reconnaissance de la chaîne de cybercriminalité », ou pour des campagnes d’extorsion ou de ransomware.

« Les opposants sont constamment à la recherche de nouvelles méthodes pour mettre la main sur les informations confidentielles des entreprises, principalement à des fins financières », ont écrit Szarf, Karmi et Saposnik.

Exemples d’exposition

Dans ses recherches, Mitiga s’est concentrée sur une période d’un mois : du 21 septembre au 20 octobre 2022. Tout au long de cette période, ils ont vu 2 783 photos. Parmi ceux-ci :

  • 810 ont été exposés tout au long de la période examinée.
  • 1 859 ont été exposés pendant 1 à 2 jours.

Le scientifique a développé une méthode native AWS qui a scanné, cloné et extrait des informations potentiellement délicates à partir de photos RDS à l’échelle. Cela imitait le type d’outil qui peut être mis en place et utilisé par les agresseurs pour abuser ultérieurement des informations.

L’outil a scanné toutes les heures des images– de toutes les régions– qui ont été marquées comme publiques. Ceux-ci ont ensuite été clonés sur le compte AWS de Mitiga, répertoriés, préparés, extraits et nettoyés.

Dans un exemple, une base de données MySQL qui semblait provenir d’une base de données d’application de rencontres a été exposée pendant environ 4 heures. La base de données a été produite le 14 avril 2016, mais l’instantané a été pris plus de six ans plus tard, le 2 octobre 2022. Un tableau répertorie environ 2 200 utilisateurs et comprenait leurs e-mails, mots de passe hachés, dates de naissance et liens d’image personnels. Un autre tableau, en revanche, comprenait des messages privés.

Dans un autre exemple, une base de données MySQL a été exposée pendant un mois entier. Cela semblait être une base de données professionnelle d’applications téléphoniques, et la photo a été traitée le 12 septembre 2022.

Un tableau récapitule toutes les connexions aux applications professionnelles ; il contient des informations composées d’identifiants d’utilisateur, de conceptions d’appareils téléphoniques, d’adresses mac, de jetons d’accès client et d’identifiants d’application.

En fin de compte, ont écrit Szarf, Karmi et Saposnik, il n’est « pas exagéré de présumer de la pire des circonstances. »

« Lorsque vous rendez une photo publique pendant une courte période, quelqu’un pourrait obtenir les métadonnées et le matériel de cet instantané », ont-ils écrit.

En d’autres termes, pour garantir leur vie privée et celle de leurs clients, les organisations ne doivent pas rendre publics les instantanés s’ils ne sont pas sûrs à 100 % qu’il n’y a pas de données sensibles dans le matériel ou dans les métadonnées, ils état.

L’exposition fait défaut, mais les organisations peuvent y remédier

En fin de compte, Maor a regretté un manque de présence idéale.

« En tant que détectives médico-légaux, nous étions mécontents de l’absence de capacité à détecter si un instantané partagé publiquement était consulté par un tiers utilisant les journaux », a-t-il déclaré.

La société a contacté AWS à propos du problème, et ils avaient en fait produit une demande de fonction, a-t-il rapporté.

Mais dans tous les cas, les organisations utilisant des photos Amazon RDS devraient agir maintenant, a-t-il déclaré. déclaré. D’une part, exécutez les consentements les moins privilégiés : n’offrez pas de consentements inutiles lorsqu’ils ne sont pas nécessaires.

De même, chiffrez les instantanés lorsque cela est possible ; ceux-ci ne peuvent pas être partagés publiquement. Utilisez l’ensemble d’outils AWS disponible (AWS Trusted Consultant, AWS config) pour détecter les images publiques. Et, utilisez les journaux AWS CloudTrail pour vérifier traditionnellement si une photo a été produite et partagée publiquement ou sur un compte inconnu.

Beaucoup de tous, a déclaré Maor, « éduquer, informer, informer : comprendre les abus possibles et les ramifications du partage public d’une ressource, même pour quelques secondes. »

L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de comprendre la technologie d’entreprise transformatrice et d’effectuer des transactions. Découvrez nos Briefings.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

Article précédent
Des électrodes pour sonder les synapses à la poursuite des rêves
Article suivant
La mémoire CAMM pourrait être le successeur de DIMM

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Tous droits réservés. © 2021 L'Entrepreneur

Catégories populaires

Le choix de la rédaction

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline