Scoperto un importante data leak sui Bucket Amazon S3 della società Attunity, società di gestione dei big data, che non ha correttamente protetto i propri sistemi esponendo una significativa quantità di dati sensibili. Per comprendere l’importanza di questo leak è bene specificare che la società, di proprietà di Qlik, fornisce soluzioni a oltre 2.000 imprese e metà delle aziende, Fortune 100 una lista annuale compilata e pubblicata dalla rivista Fortune che classifica le 100 maggiori imprese societarie statunitensi misurate sulla base del loro fatturato.
Amazon S3 possiede varie caratteristiche utilizzabili per organizzare e gestire i dati in modi che supportano casi d’uso specifici, aumentano l’efficienza in termini di costo, rafforzano la sicurezza e soddisfano i requisiti di conformità. I dati sono archiviati come oggetti all’interno di risorse chiamate “bucket”; un singolo oggetto può avere dimensioni di massimo 5 terabyte. Le caratteristiche di S3 includono funzionalità per aggiungere tag di metadati agli oggetti, spostare e archiviare i dati tra le classi di storage S3, configurare e rinforzare i controlli di accesso ai dati, proteggere i dati contro utenti non autorizzati, eseguire analisi dei Big Data e monitorare i dati a livello di oggetto e di bucket. (Fonte Amazon)
La spiacevole scoperta è avvenuta grazie a una società di società di cyber-resilience UpGuard che ha trovato tre bucket di storage cloud AWS non protetti appartenenti ad Attunity. Di questi tre bucket, uno conteneva un’ampia raccolta di documenti aziendali interni. La dimensione totale del leak attualmente è incerta, ma il ricercatore è riuscito a scaricare un campione di circa un terabyte, inclusi 750 gigabyte di backup e-mail compressi. Leggi il post di UpGuard.
Le informazioni sensibili collezionate dai ricercatori spaziavano dalla corrispondenza e-mail, alle password di sistema, a informazioni su contatti di vendita e marketing alle specifiche di alcuni progetti e molto altro.”
UpGuard ha condiviso come prova della scoperta alcune le stringhe di autenticazione del database Netflix, una fattura per un aggiornamento del software TD Bank e le diapositive che descrivono un progetto per Ford.
Maggiori dettagli – fonte: UpGuard