To procent af S3-buckets er åbne for skrivning

En test af over 100.000 Amazon S3-buckets viser, at to procent tillader enhver at skrive og slette filer.

S3 er en udbredt metode til at lagre data i cloud under AWS (Amazon Web Services). Det franske sikkerhedsfirma HTTPCS har undersøgt konfigurationen af over 100.000 såkaldte buckets – det vil sige steder, hvor data kan lagres i cloud-systemet.

10 procent af buckets er offentligt tilgængelige, mens resten er private.

Ud af de åbne buckets var der filer, som kunne læses, i 58 procent.

Dermed har brugerne af systemet konfigureret det på en måde, der indebærer risiko for, at uvedkommende kan læse fortrolige data. Sikkerhedsforskerne fandt således regneark med oversigter over brugernavne og passwords.

20 procent af de åbne buckets (eller to procent af alle) tillod skrivning af data.

Det kan kriminelle udnytte til at sprede skadelig software eller foretage afpresning ved at slette filer og kræve løsesum for gendanne dem.

Anbefaling

Følg best practices for sikring af S3-buckets.

Links