6 % de tous les Google Cloud Buckets sont vulnérables aux accès non autorisés
Les compartiments S3 d'Amazon sont le moyen le plus populaire pour les applications, les sites Web et les services en ligne de stocker des données dans le cloud. Ainsi, lorsque des violations de données et des expositions se produisent, les compartiments S3 vulnérables sont souvent cités comme cibles.
Mais Amazon Web Services est loin d'être le seul fournisseur de stockage de fichiers dans le cloud. Les buckets Google Cloud, par exemple, sont également assez courants, et ils sont tout aussi vulnérables (en raison d'une mauvaise configuration) que leurs homologues plus populaires, selon les dernières recherches de l'équipe de recherche en cybersécurité de Comparitech.
Environ six % de tous les buckets Google Cloud sont mal configurés et/ou vulnérables aux attaques., selon une analyse de 2 064 seaux. 131 des compartiments étaient vulnérables à un accès non autorisé par des utilisateurs qui pouvaient répertorier, télécharger et/ou charger des fichiers. Ces compartiments peuvent contenir, entre autres, des fichiers confidentiels, des bases de données, du code source et des informations d'identification.
Les attaquants pourraient exploiter ces vulnérabilités pour voler des données, compromettre des sites Web et lancer d’autres attaques. Ces vulnérabilités sont faciles à exploiter, affirment nos chercheurs.
Parmi les données exposées, nous avons découvert 6 000 documents numérisés contenant des passeports, des actes de naissance et des profils personnels d'enfants en Inde.
Une autre base de données appartenant à un développeur Web russe comprenait les informations d’identification du serveur de messagerie et les journaux de discussion du développeur.
Google a refusé la demande de commentaires de Comparitech, mais a répondu avec des liens vers des conseils sur la façon de sécuriser les compartiments Google Cloud, que vous pouvez trouver au bas de cet article.
Trouver des buckets Google exposés
Les buckets Google adhèrent à quelques directives de dénomination ce qui les rend faciles à trouver. Parmi eux:
- Les noms de buckets doivent contenir uniquement des lettres minuscules, des chiffres, des tirets (-), des traits de soulignement (_) et des points (.). Les espaces ne sont pas autorisés.
- Les noms de buckets doivent commencer et se terminer par un chiffre ou une lettre.
- Les noms de compartiment (ou les composants de noms séparés par des points) doivent contenir entre 3 et 63 caractères.
Nos chercheurs ont pu analyser le Web à l'aide d'un outil spécial disponible à la fois pour les administrateurs et les pirates malveillants. Ils ont recherché des noms de domaine parmi les 100 meilleurs sites Web d'Alexa en combinaison avec des mots courants utilisés pour nommer des compartiments tels que « bak », « db », « base de données » et « utilisateurs ».
En filtrant en fonction des données de recherche et des directives de dénomination, ils ont pu trouver plus de 2 000 compartiments en 2,5 heures environ. Nos chercheurs ont noté qu’ils pourraient probablement améliorer leur analyse pour couvrir encore plus de domaines. Notez que le fait qu’un nom de bucket contienne le nom d’une entreprise particulière, telle que Facebook, ne signifie pas que le bucket appartient à cette entreprise.
Avec la liste des buckets en main, les chercheurs ont ensuite vérifié si chacun était vulnérable ou mal configuré. Environ six pour cent des compartiments étaient accessibles sans authentification.
C’est là que s’arrête l’analyse de nos chercheurs, mais bien entendu, un attaquant pourrait aller bien plus loin. Par exemple, un attaquant pourrait télécharger tous les fichiers du bucket à l'aide de l'outil de ligne de commande gsutils, un outil officiel de Google pour gérer les buckets.
Comment empêcher l'accès non autorisé aux compartiments Google
Si vous souhaitez vous assurer que vos buckets ne sont pas exposés, commencez par analyser le Web. Nos chercheurs recommandent d'utiliser gsutil , l'outil de ligne de commande officiel de Google, ou SeauMineur pour rechercher le nom de votre entreprise sur l'infrastructure Google et Amazon. Ceux-ci produiront des statistiques, des images et des noms de fichiers, et vous indiqueront si le compartiment est ouvert.
Les conseils de Google sur la sécurisation des buckets Google Cloud sont les suivants :
- Activer l'accès uniforme au niveau du bucket et sa politique d'organisation
- Activer le partage restreint au domaine
- Chiffrez vos données Cloud Storage avec Cloud KMS
- Auditez vos données Cloud Storage avec Cloud Audit Logging
- Sécurisez vos données avec VPC Service Controls
- Contrôles des services VPC
- Gestion des identités et des accès cloud
- ACL
- Cloud DLP
- Centre de commandement de la sécurité du cloud
Surveillez régulièrement vos buckets, vos actifs et vos paramètres de sécurité. Cela vaut non seulement pour les compartiments Google, mais également pour Amazon, Microsoft et autres.