כל שבוע חדש מביא איתו לכאורה עוד גילוי מטריד של נתונים אישיים שנותרו לא מאובטחים וחשופים באינטרנט. חברות שונות - המשתרעות על פני תעשיות מגוונות כמו פורנוגרפיה, קנאביס ותיעוד רפואי - מתבלבלות בדרכים שקשה לנתח, כולן עם אותו נפגע: הפרטיות שלך.

בעוד שההיקף והחומרה עשויים להשתנות, נושא אחד מאחד לעתים קרובות כל תקרית ראויה לחדשות: אירוע לא מאובטחדלי אמזון S3המכיל נתונים של לקוחות, רפואיים או פיננסיים שנותרו בחוץ לכל מי שיש לו את הידע המתאים לגזל.

השאלה מדוע זה ממשיך לקרות היא שאלה חשובה שלמרבה הצער לא תיעלם בקרוב.

אולי אתם תוהים מה זה בדיוק דלי של אמזון S3. התשובה הקצרה והפשוטה היא שמדובר ביחידת אחסון וירטואלית שבה חברות מסוימות משלמות כדי לשמור על הנתונים שלהן. אבל עוד קצת על זה.

השאלה הבאה שלך כנראה נוקבת יותר: האם כל זה באשמת אמזון? החברה המאסיבית בהחלטיש אשמה מסוימתבכללשחיקה בפרטיות שלנו. אבל הסיבה שכל פרט אישי שלך נחשף בעבר, וככל הנראה יהיה בעתיד, היא הרבה יותר מסובכת.

למרבה הצער, זה אומר שזה גם יהיה קשה יותר למנוע.

חָשׂוּף

לעתים קרובות מדי, כאשר חוקרי אבטחה או האקרים מוצאים מידע אישי באינטרנט, הוא יושב בדלי לא מאובטח של Amazon S3. אנחנו רואים את זה פעם אחר פעם, לעתים קרובות עםתוצאות מטרידות ביותר.

נותרו מאות מיליוני רשומות משתמשי פייסבוקיושבים לעין. קרוב לשמונה מאות אלף בקשות להעתקי תעודת לידהבשלה לנטילה. מידע פרטי של עשרות אלפי משתמשי קנאביס כמעטמתחנן שיגנבו אותו. תקריות כמו אלה - ויש הרבה הרבה יותר - כולן קשורות יחד על ידי פלטפורמת מחשוב ענן אחת:שירותי האינטרנט של אמזון.

אז מה קורה כאן? האם לקוחות פשוט עושים שימוש לרעה במוצר, או שמא יש איזה שהוא פגם עיצובי שהופך את החשיפה המקרית של נתונים לבלתי נמנעת?

כדי לענות על השאלה הזו, דיברתי עם מגוון מומחי אבטחה שמכירים את דלי S3 ופשעי סייבר. גם פניתי לאמזון שוב ושוב כדי לקבל הצהרה על הרשומה. רציתי לספק לחברה הזדמנות להסביר, במילותיה שלה, מדוע השירותים שלה הם הגורם המאחד לאובדן הפרטיות כה הרבה.

החברה סירבה להגיב.

הגעתי גם לחברות רבות שבעצמן פישלו וחשפו את הנתונים של הלקוחות שלהן. קיוויתי להבין, מנקודת המבט של לקוח אמזון S3, למה זה ממשיך לקרות. אולי באופן לא מפתיע, אף אחד לא הגיב לבקשות שלי.

למרבה המזל, לכל מי שמנסה להבין את העולם המבלבל לפעמים של דליים עם הגדרות שגויות, מומחי אבטחה יותר משמחים לחלוק את המומחיות שלהם.

אמזון S3 דליים

בתור התחלה, כדאי להבין מהו, בהקשר זה, "דלי". אולי הדרך הפשוטה ביותר לחשוב על זה היא כמו "תיקיה" במחשב. במילים אחרות, זו דרך עבור לקוחות AWS לארגן את הקבצים שהם משלמים לאמזון כדי לאחסן.

"דלי S3 הם דרך מצוינת לארח תוכן", הסביר דן טנטלר, מייסד בכיר של חברת האבטחהקבוצת פובוס, באימייל. "לעתים קרובות תמצא חנויות שממנפות את AWS עושות דברים כמו אחסון יומנים, אחסון תוכן משתמש שהועלה, פלט מאשכולות עיבוד נתונים ענקיים, כל מיני דברים! לדוגמה - כל קובץ שהעלית אי פעם ל-Slack יושב ב-S3 דְלִי!"

כמה דליים - המכילים, למשל, מסד נתונים של חברה של אימיילים ומספרי טלפון של לקוחות - צריכים להיות מוגדרים כפרטיים על ידי מנהלי מערכת. דליים אחרים מכילים מידע ציבורי ומוגדרים בכוונה לציבור. זה הגיוני.

זה כשהשניים מתבלבלים מתעוררות בעיות.

"בסופו של יום, קל לסווג את סוגי התקלות האלה לשתי ערימות: אנשים שאכפת להם ואנשים שלא", כתב טנטלר. "כמעט בכל מקרה, האנשים שלא אכפת להם הם שאחראים להפרות מסוג זה, כי לא לקח להם 5 דקות לקרוא על הגדרות האבטחה של S3 ולפרוס את הדלי בצורה נכונה כשהם התקינו אותו."

חשוב לציין, אמזוןמאבטח דלי S3כברירת מחדל. במילים אחרות, כדי שדלי יהיה נגיש לציבור לכל האקר ותיק או חוקר אבטחה שיודע היכן לחפש - כפי שהיה במקרה של כמעט 800,000 הבקשות להעתקי תעודת לידה שהוזכרו לעיל - מישהו צריך לפשל באופן אקטיבי. או, כפי שניסח זאת טנטלר, לא אכפת.

בעוד שיכולת האנושות לטעות היא בלתי מוגבלת, שגיאת דלי S3 זו נוטה להתרחש בשלוש דרכים שונות: לקוח AWS עלול, למשל, לקחת נתונים רגישים ולהניח אותם בטעות בדלי שהוגדר להיות ציבורי. או, סביר יותר, שאותו לקוח AWS עלול לשנות בטעות את ההגדרה של דלי שלם לציבורי. הסבר נוסף, פחות צדקה, הוא שמנהל משנה באופן זמני את ההגדרה של דלי פרטי לציבורי כסוג של קיצור דרך חד פעמי לשיתוף נתונים ואז שוכח להחליף אותו בחזרה.

בעוד שבשלושת המקרים הללו התקלה נעוצה בלקוח, השניים הראשונים מצביעים על כך שאמזון לא עושה כל שביכולתה כדי להבהיר באופן מפורש ומיד למנהל ש-bucket נגיש לציבור.

ובכל זאת...

בדוק את התמונה למעלה. זה מראה, נכון לסוף 2017, איך נראה הקצה האחורי של קונסולת S3. שמת לב למשהו? באופן ספציפי, יש עמודה שלמה "גישה" שאומרת למנהל אם דלי הוא או לא הוא ציבורי.

די קשה לפספס.

כפי שצוין קודם לכן, פניתי לאמזון בניסיון לקבוע מדוע היא חושבת שהטעות הזו ממשיכה להתרחש, אך לא הצלחתי לקבל תגובה רשמית.

אולי קשה לקרוא בעדינות לחלק מהלקוחות שלך אידיוטים?

הגדר להיכשל

במובנים מסוימים, שירותי האינטרנט של אמזון הם קורבן להצלחה של עצמה.

לפי גרטנר, חברת ייעוץ טכנולוגי, בשנת 2018, אמזון תפסה 47.8 אחוזים מכלל השוק של "תשתית כשירות" ש-AWS היא חלק ממנו. במילים אחרות, אמזון פופולרית - גם אצל מנהלי אתרים שיודעים לשמור כראוי על דליים מאובטחים וגם אצל אלה שלא.

שיהיה ברור, לא רק המוצרים של Amazon Web Services מוגדרים לעתים בצורה לא נכונה. רק באפריל האחרון, נודע לנו על שרת ענן של מיקרוסופט סביר שגוי, שחשף את הנתונים האישיים שלו80 מיליון משקי בית. אופס.

"השימוש ב'ענן' הוא חרב פיפיות", כתב טנטלר. "מצד אחד, זה הפך את זה לטריוויאלי לבצע פעולות בקנה מידה רחב, לארח טרה-בייט של נתונים, או לפרוס אתרים ויישומים חדשים - מצד שני, מכיוון שזה כל כך קל, מחסום הכניסה שהיה פעם 'אתה'. צריך להיות לפחות כזה גבוה כדי לרכוב' נעלם - וממש כל אחד יכול לעשות את זה".

בעיקרו של דבר, אם מנהלי מערכת אינם יודעים דבר על הגדרה נכונה של דלי S3, והם לא לוקחים את הזמן ללמוד, אז הם מסכנים את הנתונים של כולם.

ויקטור גברס, חוקר אבטחה שעובד עם העמותהקרן GDIכדי למצוא ולחשוף פרצות אבטחה, מוסכם עם Tentler. הוא הדגיש תחילה על הודעות ישירות בטוויטר שדלי S3 הם פרטיים כברירת מחדל, אבל אז עשה אנלוגיה ששווה להתגרות בה.

"אז כאשר קבצים נגישים לציבור, אז זה נעשה על ידי הלקוח", הוא כתב. "האם אתה יכול להאשים חברת רכב שהנהגים יכולים לגרום לתאונות?"

אבל מה אם למכונית יש עיצוב לקוי?

UpGuard, חברה שחשבונות בעצמומכיוון ש"[מסייע] לעסקים לנהל סיכוני אבטחת סייבר", מתריע לחברות כשהן השאירו נתונים חשופים באינטרנט. במהלך השנים, חוקרי UpGuard גילו מיליוני רשומות פרטיות שנחשפו על דלי S3 שהוגדרו בצורה שגויה. וכפי שכתב סגן נשיא החברה לשיווק, קאושיק סן, בדצמבר 2019פוסט בבלוג, להטיל את האשמה רק על לקוחות אמזון זה קצת שוטר.

"השקפה שלנו היא ש-AWS הפכה את זה למשתמשי S3 קל מדי להגדיר דליים בצורה שגויה כדי להפוך אותם לנגישים באופן ציבורי לחלוטין דרך האינטרנט", כתב. "זה תלוי ב-AWS ליצור פתרונות אבטחה טובים יותר כברירת מחדל."

כריס ויקרי, מנתח סיכונים של UpGuard, הוסיף במייל כי: "זה מסתכם בעיקר בכלל האצבע ש'אם אפשר להגדיר אותו בצורה שגויה, כמות מסוימת של משתמשים תגדיר אותו בצורה שגויה'".

Vickery שיתף עם Mashable דוגמה ספציפית של אמזון שמגדירה את לקוחותיה לכישלון.

"אנשים רבים הניחו שהגדרת הגישה האופציונלית של ['משתמשים מאומתים גלובליים'] תפתח מאגר אחסון 'גלובלי' בתוך הארגון שלהם, אך עדיין לא תאפשר לציבור הרחב להוריד פריטים בתוכו", הסביר. "עם זאת, אמזון רואה במשתמשים מאומתים גלובליים כל אחד בעולם שמחובר לשירותי האינטרנט של אמזון (AWS). ניתן לטעון שמשתמשי קצה אינם מוצדקים בכך שהם לא מתחשבים בתוצאה זו, מכיוון שמבלבל אותי שהגדרה כזו אי פעם תהיה מוצדקת. להיכלל כאופציה מלכתחילה".

ראה גם:איך ותיק מת הפך לפנים של מודעת אינסטגרם של אפליקציית טיפול

לרוע המזל, לפחות נכון לעכשיו, כל הצעדים שאמזון נוקטת כדי לספק בהירות לא נראה מספיק כדי לעצור שטף של דליים שגויים בתצורה. וכך, צפה להמשיך לקרוא חשבונות של הנתונים האישיים שלך, שוב, ולהישאר חשופים באינטרנט לפושעים וחוקרי אבטחה למצוא.

הטכנולוגיה לא מפוארת?