IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une erreur de configuration sur un bucket Amazon S3 a exposé des informations de GoDaddy


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 110
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 110
    Points : 210 086
    Points
    210 086
    Par défaut Une erreur de configuration sur un bucket Amazon S3 a exposé des informations de GoDaddy
    Une erreur de configuration sur un bucket Amazon S3 a exposé des informations de GoDaddy,
    le plus grand bureau d'enregistrement de noms de domaine du monde

    Le 19 juin 2018, un analyste d'UpGuard Cyber Risk a découvert un compartiment Amazon de stockage S3 lisible publiquement nommé abbottgodaddy. À l'intérieur se trouvaient plusieurs itérations d'un tableur, dont la dernière version s'appelait GDDY_cloud_master_data_1205 (AWS r10).xlsx, un fichier Microsoft Excel de 17 Mo avec plusieurs feuilles et des dizaines de milliers de lignes. Après avoir déterminé la nature des données, UpGuard a lancé des efforts de notification le 20 juin 2018. GoDaddy a répondu par courrier électronique le 26 juillet et l'équipe de recherche d'UpGuard a confirmé que l'exposition avait été clôturée le même jour.

    Les compartiments de stockage S3 d'Amazon sont privés par défaut, ce qui signifie que seuls les utilisateurs désignés peuvent y accéder. Cependant, à cause d'une mauvaise compréhension ou d'une mauvaise configuration, ces autorisations sont parfois modifiées pour permettre un accès public, ce qui signifie que toute personne visitant l'URL du compartiment de stockage peut consulter anonymement tout contenu qui n'est pas explicitement verrouillé.

    UpGuard a décrit quelques exemples de la façon dont les autorisations S3 peuvent être mal configurées pour les données exposées, mais en termes simples, il existe deux groupes qui doivent être utilisés avec une extrême prudence :
    • Tous les utilisateurs (tout le monde) : accès anonyme public. Toute personne qui dispose du nom peut avoir accès au compartiment de stockage ;
    • Utilisateurs authentifiés (tous les utilisateurs AWS) : toute personne disposant d'un compte AWS (gratuit) peut accéder au compartiment. Les expositions de ce type doivent toujours être considérées comme des expositions publiques, car l'obtention d'un compte AWS est très simple.

    Que vous déployiez des dizaines de compartiments de stockage pour une entreprise ou que vous en établissiez un à titre personnel, il est essentiel de comprendre comment ces autorisations publiques fonctionnent et comment elles sont définies pour vos ressources à tout moment.

    Les informations exposées par GoDaddy

    GoDaddy, qui est identifié comme étant « le plus grand bureau d'enregistrement de noms de domaine au monde », est l'un des plus importants fournisseurs de certificats SSL, et depuis 2018, le plus grand hébergeur Web par part de marché. Les documents exposés incluent des informations de configuration de haut niveau pour des dizaines de milliers de systèmes et des options de tarification pour exécuter ces systèmes dans Amazon AWS, y compris les remises offertes dans différents scénarios.

    Nom : config.png
Affichages : 2854
Taille : 62,7 Ko

    Les informations de configuration exposées comprenaient des champs pour le nom d'hôte, le système d'exploitation, la « charge de travail » (utilisation du système), la région AWS, les spécifications de la mémoire et du processeur, etc. Essentiellement, ces données ont mappé un déploiement d’infrastructure de cloud AWS à très grande échelle, avec 41 colonnes différentes sur des systèmes individuels, ainsi que des données résumées et modélisées sur les totaux, les moyennes et d’autres champs calculés. On y trouvait également des réductions de Amazon AWS sur GoDaddy, généralement réservées aux deux parties, qui doivent négocier les tarifs, tout comme les concurrents de GoDaddy.

    Avec 17,5 millions de clients et 76 millions de noms de domaine, GoDaddy constitue un élément essentiel de l’infrastructure Internet, et son utilisation dans le cloud opère sur l’une des plus grandes échelles existantes.

    Comment ces données auraient-elles pu être exploitées ?

    Selon UpGuard, il existe deux principaux vecteurs d’exploitation de ces données :
    • l’utilisation des données de configuration des serveurs GoDaddy en tant que « carte » (permettant aux acteurs malveillants de sélectionner des cibles en fonction de leur rôle, de leurs données probables, de leur taille et de leur région) ;
    • l’utilisation des données métier comme un avantage concurrentiel pour la stratégie et la tarification de l'hébergement cloud.

    Informations de configuration du système

    Les données de configuration du système offrent à un attaquant potentiel des informations sur les opérations GoDaddy. On cherche souvent des informations similaires sur le « casing » par le biais de l'ingénierie sociale et de la recherche sur Internet pour rendre les autres attaques aussi efficaces et efficientes que possible. Chaque point de données permet d'atteindre cet objectif. La colonne "workload" aiderait particulièrement les attaquants à aller dans la bonne direction, en soulignant les systèmes qui remplissent des fonctions plus importantes et qui hébergent probablement des données importantes.

    Bien que ne fournissant pas directement des informations d'identification ou n’exposant pas des informations sensibles stockées sur ces serveurs, les expositions des détails de la configuration de l'infrastructure numérique peuvent constituer un tremplin pour les attaques qui accèdent à ces informations.

    Avantage compétitif

    Mais les pirates ne sont pas les seuls sur le marché à pouvoir rechercher ce type d’informations. Les concurrents, les fournisseurs, les fournisseurs de cloud et autres seraient tous intéressés de savoir comment le plus grand hôte de domaine au monde gère leurs dépenses de cloud. À l’échelle d’Amazon AWS et de GoDaddy, les négociations d’un point de pourcentage ou plus sont essentielles, car cela peut représenter une différence de plusieurs millions de dollars par an. Cependant, connaître les détails des remises AWS de GoDaddy pourrait donner à d'autres un avantage de négociation et un niveau de prix qui seraient autrement inconnus. En outre, la manière dont GoDaddy alloue ses dépenses dans le cloud est également stratégique: combien de calcul, combien de stockage, combien de régions, combien d’environnements, il s’agit d’un modèle pour exécuter une infrastructure cloud à grande échelle.

    Nom : config_1.png
Affichages : 2395
Taille : 50,7 Ko

    La déclaration d’AWS

    « Le compartiment de stockage en question a été créé par un commercial AWS pour stocker des scénarios de tarification AWS potentiels tout en travaillant avec un client », a déclaré un porte-parole d’AWS. « Aucune information client GoDaddy n’était dans le compartiment de stockage exposé. Alors qu’Amazon S3 est sécurisé par défaut et que l’accès au compartiment est uniquement verrouillé par le propriétaire du compte et l’administrateur racine dans les configurations par défaut, le commercial n’a pas respecté les meilleures pratiques d’AWS ».

    AWS indique qu'aucune information de GoDaddy n'a été impliquée dans la violation. GoDaddy a déclaré que les documents exposés étaient des modèles spéculatifs et n'étaient pas liés aux activités en cours entre le fournisseur d'hébergement et Amazon.

    Nom : config_3.png
Affichages : 2166
Taille : 16,2 Ko

    Pour UpGuard, « Internet est considéré comme un service omniprésent "qui fonctionne juste". Mais, tout comme les entreprises qui utilisent Internet pour leurs affaires, les entreprises responsables de l'infrastructure qui fait fonctionner Internet sont soumises aux risques de leur technologie. Et bien que les organisations de toutes tailles doivent considérer l'exposition aux données dans leur évaluation des risques de l'entreprise, à plus grande échelle, les erreurs de configuration peuvent être à la fois plus difficiles à trouver et avoir des conséquences beaucoup plus graves ».

    Et d’insister en disant : « Qu'il s'agisse d'opérations aussi vastes que GoDaddy ou Amazon ou de petites et moyennes entreprises, toute personne utilisant la technologie cloud est exposée à un risque d'exposition involontaire si la connaissance opérationnelle et les processus ne sont pas là pour détecter et corriger les erreurs de configuration. Qu'il s'agisse d'un actif dans le centre de données principal ou hébergé sur un système tiers, tous les liens de la chaîne logistique numérique doivent être résilients pour protéger les données ».

    Source : UpGuard

    Voir aussi :

    Amazon envisage d'abandonner complètement les SGBD et services d'Oracle d'ici 2020, Oracle serait incapable de répondre à ses besoins de performance
    La technologie de reconnaissance faciale d'Amazon identifie à tort 28 membres du Congrès US comme des criminels, quels dangers pour les Américains ?
    Amazon annonce des mises à jour pour ses instances Cloud dédiées au calcul haute performance avec des CPU Skylake d'Intel censés être plus rapides
    Jeff Bezos devient l'homme le plus riche de l'histoire contemporaine, la fortune du PDG d'Amazon vient de dépasser 150 milliards de $
    Amazon s'adjuge une énorme part du e-commerce américain avec 49 % du total de ventes, 5 % du marché national des ventes au détail, selon eMarketer

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 605
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 605
    Points : 4 140
    Points
    4 140
    Par défaut
    ah c'est le plus grand ? 1ere fois que j'entends ce nom. j’aurais pensé a gandi

Discussions similaires

  1. Réponses: 2
    Dernier message: 10/11/2017, 14h31
  2. modéliser une adresse complète et y prélever des informations
    Par alfonsokm dans le forum Modélisation
    Réponses: 3
    Dernier message: 13/04/2014, 14h28
  3. Réponses: 10
    Dernier message: 20/08/2013, 12h05
  4. Réponses: 7
    Dernier message: 06/10/2010, 12h09
  5. [Integration] Configurer log4j avec des informations du contexte Spring
    Par w3blogfr dans le forum Spring
    Réponses: 0
    Dernier message: 27/01/2010, 17h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo