Usando técnicas relativamente simples, la firma de seguridad Rapid7 ha descubierto que es posible acceder a información confidencial en uno de cada seis ‘cubos’ del sistema de almacenamiento en nube Amazon Simple Storage Service (S3).
Según los investigadores de Rapid 7 los usuarios y no Amazon serían los responsables ya que la configuración por defecto de estos cubos es ‘privado’ y 1.951 cubos de ellos investigados se encontraron abiertos al público revelando información confidencial. Entre ellos:
- Fotos personales de una red social.
- Registros de ventas e información contable de un gran concesionario de coches.
- Datos de afiliados, porcentajes de click-through e información contable de una agencia de publicidad.
- Información personal de empleados y listas de miembros en varias hojas de cálculo.
- Copias de seguridad de bases de datos sin proteger que contienen datos de webs y contraseñas cifradas.
- Código fuente de vídeo juegos y herramientas de programación de una empresa de juegos para móviles.
- Código PHP que incluía ficheros de configuración que contenían nombres de usuarios y contraseñas.
La solución según Rapid7 es sencilla: “Comprueba tu cubo. Si está abierto, determina si no te preocupa el acceso a su contenido… y si el contenido debe ser privado, consulta el tutorial de Amazon sobre como bloquearlo”.
Para encontrar cubos que anteriormente estuvieran abiertos recomiendan el uso de WayBackMachine.
Fuente: muyseguridad
