Wenn der Eimer ein Loch hat: Datenlecks durch fehlkonfigurierte Amazon S3-Buckets

Verführerisch einfach: Amazons Simple Storage Service

Besonders leicht passiert dies in Amazon S3, dem Simple Storage Service. Dieser ist, wie der Name schon sagt, eigentlich nichts weiter als ein Datenspeicher in der Cloud. Er ist in sogenannten Buckets, also Eimern, organisiert. Ein Bucket ist ein Behältnis für die Objekte, die dort gespeichert werden – etwa Dateien. 
Im Gegensatz zu On-premises-Datenspeicherung (also lokaler Datenspeicherung) sind Daten in Amazon S3 immer und von überall her zugänglich. Zudem kann ein Konzern wie Amazon seine Datenzentren besser absichern als die meisten Unternehmen vor Ort: während in einem kleineren Unternehmen schon ein Vorfall wie Einbruch oder Hochwasser zu Datenverlust führen kann, braucht es bei Amazon deutlich größere Katastrophen, um die Verfügbarkeit der Daten in Gefahr zu bringen.
Amazon bietet außerdem verschiedene sogenannte Tier für S3: Das sind abgestufte Service-Klassen, die ein Unternehmen danach auswählen kann, wie oft, wie schnell und wie zuverlässig es Zugriff auf die in den Buckets gespeicherten Daten braucht. Dies sorgt zusätzlich für Effizienz: Daten, die besonders schnell zugänglich sein müssen, werden im S3-Standard-Tier vorgehalten. Wenn schon bekannt ist, dass Daten selten zugänglich sein müssen – etwa zu Archivzwecken – kann ein kostengünstigerer Tier gewählt werden. Und es gibt sogar die Möglichkeit, dies von Amazon selbst optimieren zu lassen: Im sogenannten Intelligent Tiering werden mit Hilfe von Machine Learning Objekte automatisch zwischen Standard und einer kostengünstigeren Klasse verschoben, je nach Zugriffsmustern.  

 

Falsche Konfiguration von S3-Buckets: immer wieder Datenlecks

All diese verführerischen Eigenschaften von S3 sind in der Vergangenheit schon einigen Unternehmen zum Verhängnis geworden: Sie haben S3 zu sorglos eingesetzt und sind damit in existenzbedrohende Schwierigkeiten geraten. Amazon hat zwar immer wieder seine Security-Voreinstellungen für S3 nachgebessert, um Kunden vor versehentlichen Fehlkonfigurationen zu schützen. Aber dem sind Grenzen gesetzt, wenn der Dienst weiterhin so „Simple“ bleiben soll, wie der Name es verspricht.
Hier also ein kleiner Überblick über die S3-Datenlecks der letzten Jahre. Dies ist keine vollständige Aufzählung – und die Dunkelziffer ist hoch, denn vielen Unternehmen gelingt es auch, ihre Pannen aus der Presse fernzuhalten.

Auch große Namen betroffen: S3-Datenlecks der letzten Jahre

• Booz Allen Hamilton: Im Mai 2017 wurde bekannt, dass das bekannte Beratungsunternehmen Booz Allen Hamilton aufgrund eines falsch konfigurierten S3-Buckets vertrauliche Daten exponiert hatte. Besonders brisant: da Booz Allen Hamilton auch für das US-Verteidigungsministerium tätig war, wurden auch geheime Unterlagen dieser Behörde kompromittiert. 
  
  
• Verizon: Im Juni 2017 stellte eine IT-Sicherheitsfirma fest, dass die Namen, Telefonnummern und andere persönliche Daten – teilweise sogar PINs – von Kunden der US-Telefongesellschaft Verizon öffentlich zugänglich waren. Das Leck wurde dem Unternehmen am 13. Juni mitgeteilt und am 22. Juni geschlossen. 
  
  
• Accenture: Im September 2017 wurde bekannt, dass Accenture, eines der größten Beratungsunternehmen der Welt, Daten im Umfang von 1,1 TB öffentlich zugänglich gemacht hatte. Darin befanden sich Daten von registrierten Wählerinnen und Wählern. 
  
  
• Uber: Im November 2017 berichteten Medien, dass Uber die persönlichen Daten von 57 Millionen Fahrgästen weltweit und etwa 600.000 US-amerikanischen Fahrerinnen und Fahrern öffentlich zugänglich gemacht hatte – auch dies aufgrund falsch konfigurierter S3-Buckets. Das Datenleck war schon im Jahr zuvor passiert, als noch der umstrittene Uber-CEO Travis Kalanick im Amt gewesen war, wurde aber erst 2017 bekannt. 
  
  
• GoDaddy: Im Jahr 2018 wurden durch ein öffentlich zugängliches S3-Bucket zwar keine sensiblen persönlichen Daten von Kunden nach außen gegeben, aber Geschäftsgeheimnisse des Providers GoDaddy: Diese beinhalteten Details der Konfigurationen von Deployments auf AWS und Preismodelle für ihre Kunden.
  
  
• Facebook: Die Daten von 540 Millionen Facebook-Nutzern wurden im März 2019 durch falsch konfigurierte S3-Buckets von zwei Apps von Drittanbietern kompromittiert. Interessant daran: einer der beiden Drittanbieter existierte schon seit Jahren nicht mehr, aber sein S3-Bucket vegetierte noch ungeschützt im Netz vor sich hin. 
  
  
• Capital One: Im Jahr 2019 erlitt die Bank Capital One ein durch ein falsch konfiguriertes S3-Bucket verursachtes Datenleck, bei dem persönliche Informationen von rund 100 Millionen US-amerikanischen und 6 Millionen kanadischen Kunden gestohlen wurden. Es handelte sich insbesondere um Kunden, die zwischen 2005 und 2019 Kreditkartenkunden waren oder eine Kreditkarte beantragt hatten.
  
  
• MGM Resorts: Mitte 2019 tauchten in einem Darknet-Forum die persönlichen Daten inklusive Namen, Wohnadressen, Telefonnummern und E-Mail-Adressen von über 10 Millionen Gästen der Hotelkette MGM Resorts auf. Das Datenleck, wie später bekannt wurde, bestand schon seit 2018. Grund auch hier: fehlerhafte Konfiguration eines S3-Buckets.
  
  
• Delivery Hero: 2020 wurde – ebenfalls in einem Darknet-Forum – ein Datenleck von Foodora bekannt, einer Tochter des Unternehmens Delivery Hero. Betroffen waren 727.000 Kunden aus 14 Ländern, darunter auch Deutschland, und Daten seit 2016.
  
  
• Upstox: 2021 trat auch bei dem indischen Broker Upstox ein Datenleck durch ein falsch konfiguriertes S3-Bucket auf. Exponiert wurden hier persönliche Kundendaten inklusive der Aadhaar, der persönlichen Identifikationsnummer eines jeden indischen Bürgers bei der Unique Identification Authority of India (UIDAI).
  
  
• Pegasus Airlines: Im Frühjahr 2022 kam es bei der türkischen Fluglinie zu einer versehentlichen Offenlegung von 6,5 TB Daten, inklusive personenbezogener Daten von Mitarbeitenden, Flugplänen, Navigationsdaten und sogar Dateien mit unverschlüsselten Zugangsdaten und Passwörtern.

 

Fazit: In keinem dieser Fälle waren zuvor unbekannte Sicherheitslücken involviert – alle der hier beschriebenen Datenlecks hätten durch sorgfältige Konfiguration im Vorfeld vermieden werden können. 

So einfach lassen sich S3-Sicherheitslücken schließen

Solche Sicherheitslücken können das Ansehen Ihres Unternehmens und das Vertrauensverhältnis mit Kunden, Mitarbeitenden und Öffentlichkeit schwer beschädigen – vielleicht sogar irreparabel. Und die Wahrscheinlichkeit, dass falsche Konfigurationen unentdeckt bleiben, sinkt: Es gibt mittlerweile zahlreiche öffentlich zugängliche Tools, mit denen Sicherheitsforscher, aber auch böswillige Angreifer offenstehende S3-Buckets im Netz innerhalb von Sekunden entdecken können.

Aber: Datenlecks in S3 gehören zu den Sicherheitslücken, die sich am leichtesten schließen lassen. Es gibt praktisch keinen Grund, sich dem Risiko eines falsch konfigurierten S3-Buckets auszusetzen. Und auch andere Konfigurationsfehler, die die Sicherheit Ihres Unternehmens in AWS beeinträchtigen können, sind häufig einfacher unter Kontrolle zu bringen, als man denkt.