Une erreur de configuration sur un bucket Amazon S3 a exposé des informations de GoDaddy,
le plus grand bureau d'enregistrement de noms de domaine du monde
Le 19 juin 2018, un analyste d'UpGuard Cyber Risk a découvert un compartiment Amazon de stockage S3 lisible publiquement nommé abbottgodaddy. À l'intérieur se trouvaient plusieurs itérations d'un tableur, dont la dernière version s'appelait GDDY_cloud_master_data_1205 (AWS r10).xlsx, un fichier Microsoft Excel de 17 Mo avec plusieurs feuilles et des dizaines de milliers de lignes. Après avoir déterminé la nature des données, UpGuard a lancé des efforts de notification le 20 juin 2018. GoDaddy a répondu par courrier électronique le 26 juillet et l'équipe de recherche d'UpGuard a confirmé que l'exposition avait été clôturée le même jour.
Les compartiments de stockage S3 d'Amazon sont privés par défaut, ce qui signifie que seuls les utilisateurs désignés peuvent y accéder. Cependant, à cause d'une mauvaise compréhension ou d'une mauvaise configuration, ces autorisations sont parfois modifiées pour permettre un accès public, ce qui signifie que toute personne visitant l'URL du compartiment de stockage peut consulter anonymement tout contenu qui n'est pas explicitement verrouillé.
UpGuard a décrit quelques exemples de la façon dont les autorisations S3 peuvent être mal configurées pour les données exposées, mais en termes simples, il existe deux groupes qui doivent être utilisés avec une extrême prudence :
- Tous les utilisateurs (tout le monde) : accès anonyme public. Toute personne qui dispose du nom peut avoir accès au compartiment de stockage ;
- Utilisateurs authentifiés (tous les utilisateurs AWS) : toute personne disposant d'un compte AWS (gratuit) peut accéder au compartiment. Les expositions de ce type doivent toujours être considérées comme des expositions publiques, car l'obtention d'un compte AWS est très simple.
Que vous déployiez des dizaines de compartiments de stockage pour une entreprise ou que vous en établissiez un à titre personnel, il est essentiel de comprendre comment ces autorisations publiques fonctionnent et comment elles sont définies pour vos ressources à tout moment.
Les informations exposées par GoDaddy
GoDaddy, qui est identifié comme étant « le plus grand bureau d'enregistrement de noms de domaine au monde », est l'un des plus importants fournisseurs de certificats SSL, et depuis 2018, le plus grand hébergeur Web par part de marché. Les documents exposés incluent des informations de configuration de haut niveau pour des dizaines de milliers de systèmes et des options de tarification pour exécuter ces systèmes dans Amazon AWS, y compris les remises offertes dans différents scénarios.
Les informations de configuration exposées comprenaient des champs pour le nom d'hôte, le système d'exploitation, la « charge de travail » (utilisation du système), la région AWS, les spécifications de la mémoire et du processeur, etc. Essentiellement, ces données ont mappé un déploiement d’infrastructure de cloud AWS à très grande échelle, avec 41 colonnes différentes sur des systèmes individuels, ainsi que des données résumées et modélisées sur les totaux, les moyennes et d’autres champs calculés. On y trouvait également des réductions de Amazon AWS sur GoDaddy, généralement réservées aux deux parties, qui doivent négocier les tarifs, tout comme les concurrents de GoDaddy.
Avec 17,5 millions de clients et 76 millions de noms de domaine, GoDaddy constitue un élément essentiel de l’infrastructure Internet, et son utilisation dans le cloud opère sur l’une des plus grandes échelles existantes.
Comment ces données auraient-elles pu être exploitées ?
Selon UpGuard, il existe deux principaux vecteurs d’exploitation de ces données :
- l’utilisation des données de configuration des serveurs GoDaddy en tant que « carte » (permettant aux acteurs malveillants de sélectionner des cibles en fonction de leur rôle, de leurs données probables, de leur taille et de leur région) ;
- l’utilisation des données métier comme un avantage concurrentiel pour la stratégie et la tarification de l'hébergement cloud.
Informations de configuration du système
Les données de configuration du système offrent à un attaquant potentiel des informations sur les opérations GoDaddy. On cherche souvent des informations similaires sur le « casing » par le biais de l'ingénierie sociale et de la recherche sur Internet pour rendre les autres attaques aussi efficaces et efficientes que possible. Chaque point de données permet d'atteindre cet objectif. La colonne "workload" aiderait particulièrement les attaquants à aller dans la bonne direction, en soulignant les systèmes qui remplissent des fonctions plus importantes et qui hébergent probablement des données importantes.
Bien que ne fournissant pas directement des informations d'identification ou n’exposant pas des informations sensibles stockées sur ces serveurs, les expositions des détails de la configuration de l'infrastructure numérique peuvent constituer un tremplin pour les attaques qui accèdent à ces informations.
Avantage compétitif
Mais les pirates ne sont pas les seuls sur le marché à pouvoir rechercher ce type d’informations. Les concurrents, les fournisseurs, les fournisseurs de cloud et autres seraient tous intéressés de savoir comment le plus grand hôte de domaine au monde gère leurs dépenses de cloud. À l’échelle d’Amazon AWS et de GoDaddy, les négociations d’un point de pourcentage ou plus sont essentielles, car cela peut représenter une différence de plusieurs millions de dollars par an. Cependant, connaître les détails des remises AWS de GoDaddy pourrait donner à d'autres un avantage de négociation et un niveau de prix qui seraient autrement inconnus. En outre, la manière dont GoDaddy alloue ses dépenses dans le cloud est également stratégique: combien de calcul, combien de stockage, combien de régions, combien d’environnements, il s’agit d’un modèle pour exécuter une infrastructure cloud à grande échelle.
La déclaration d’AWS
« Le compartiment de stockage en question a été créé par un commercial AWS pour stocker des scénarios de tarification AWS potentiels tout en travaillant avec un client », a déclaré un porte-parole d’AWS. « Aucune information client GoDaddy n’était dans le compartiment de stockage exposé. Alors qu’Amazon S3 est sécurisé par défaut et que l’accès au compartiment est uniquement verrouillé par le propriétaire du compte et l’administrateur racine dans les configurations par défaut, le commercial n’a pas respecté les meilleures pratiques d’AWS ».
AWS indique qu'aucune information de GoDaddy n'a été impliquée dans la violation. GoDaddy a déclaré que les documents exposés étaient des modèles spéculatifs et n'étaient pas liés aux activités en cours entre le fournisseur d'hébergement et Amazon.
Pour UpGuard, « Internet est considéré comme un service omniprésent "qui fonctionne juste". Mais, tout comme les entreprises qui utilisent Internet pour leurs affaires, les entreprises responsables de l'infrastructure qui fait fonctionner Internet sont soumises aux risques de leur technologie. Et bien que les organisations de toutes tailles doivent considérer l'exposition aux données dans leur évaluation des risques de l'entreprise, à plus grande échelle, les erreurs de configuration peuvent être à la fois plus difficiles à trouver et avoir des conséquences beaucoup plus graves ».
Et d’insister en disant : « Qu'il s'agisse d'opérations aussi vastes que GoDaddy ou Amazon ou de petites et moyennes entreprises, toute personne utilisant la technologie cloud est exposée à un risque d'exposition involontaire si la connaissance opérationnelle et les processus ne sont pas là pour détecter et corriger les erreurs de configuration. Qu'il s'agisse d'un actif dans le centre de données principal ou hébergé sur un système tiers, tous les liens de la chaîne logistique numérique doivent être résilients pour protéger les données ».
Source : UpGuard
Voir aussi :
Amazon envisage d'abandonner complètement les SGBD et services d'Oracle d'ici 2020, Oracle serait incapable de répondre à ses besoins de performance
La technologie de reconnaissance faciale d'Amazon identifie à tort 28 membres du Congrès US comme des criminels, quels dangers pour les Américains ?
Amazon annonce des mises à jour pour ses instances Cloud dédiées au calcul haute performance avec des CPU Skylake d'Intel censés être plus rapides
Jeff Bezos devient l'homme le plus riche de l'histoire contemporaine, la fortune du PDG d'Amazon vient de dépasser 150 milliards de $
Amazon s'adjuge une énorme part du e-commerce américain avec 49 % du total de ventes, 5 % du marché national des ventes au détail, selon eMarketer
Partager