Тази търсачка рови из незащитени файлове, качени в Amazon S3

Много хора използват облачните услуги на Amazon Web Services, за да пазят данните си в облака. Част от тях очевидно не знаят, че ако не конфигурират услугата правилно, качената в AWS информация не е защитена и може да бъде свалена от всеки.

Всичко, което е необходимо, е търсачка, която да рови из милионите качени файлове и да ги индексира. Точно с тази цел е създадена търсачката на GreyhatWarfare.

Към моментта тя е индексирала около 180 млн. файла, качени в Simple Storage Service. Търсачката позволява да търсите файлове по име и да преглеждате съдържанието на цели buckets (папките, с които работи S3). Част от файловете са публични по подразбиране, но други са видими просто защото настройките на услугата не са конфигурирани правилно.

Това е един от многото скенери за файлове в S3, които съществуват, но този е с доста опростен и интуитивен дизайн и не се налага да сваляте нищо от GitHub, защото е уеб базиран.

Отворените данни в S3 са проблем, защото понякога са чувствителни. По-рано през 2018 г. стана ясно, че търговец на бижута не е защитил добре данните си в S3, поради което информацията за около 1.3 млн. клиенти – включително пароли – изтече в интернет.

Търсачката на GrehatWarfare може да се използва като допълнителен инструмент за корпоративен шпионаж и разузнаване. Направих няколко търсения с думи, специфични за България – включително имена на български компании – и открих някои по интересни документи като например декларации с комисиони, автобиографии, трудови договори и т.н. Търсачката беше индексирала и файл с подобно име: IvanPetrov-IDcard-back.pdf, който не беше достъпен, но по името може да се предположи какво съдържа.

Плановете на създателя на търсачката, чието име така и не открих, са да разшири функциите й, за да може да индексира всякакви любопитни неща като уязвими камери и други свързани към интернет устройства. Определено проект, който трябва да се следи с внимание.

Оставете коментар

Коментарите в този блог са публични. Ако не желаете истинското ви име да бъде публикувано, използвайте псевдоним.