Portada » Home » Google Cloud Buckets expuestos por configuración incorrecta

Google Cloud Buckets expuestos por configuración incorrecta

El seis por ciento de todos los depósitos de Google Cloud están mal configurados y se dejan abiertos a la Internet pública para que cualquiera pueda acceder a su contenido.

En una encuesta de 2.064 depósitos de Google Cloud realizada por Comparitech, se descubrió que 131 de ellos eran vulnerables al acceso no autorizado de usuarios que podían enumerar, descargar y / o cargar archivos. Entre los datos expuestos que descubrió la firma se encontraban 6.000 documentos escaneados que incluían pasaportes, certificados de nacimiento y perfiles personales de niños en India. Otra base de datos perteneciente a un desarrollador web ruso incluía las credenciales del servidor de correo electrónico y los registros de chat del desarrollador.

“Esos depósitos pueden contener archivos confidenciales, bases de datos, código fuente y credenciales, entre otras cosas”, escribió el investigador Paul Bischoff de la firma, en una publicación el martes.

Añadió que descubrir bases de datos en la nube expuestas es un asunto trivial. En el caso de Google, existen pautas de nomenclatura que facilitan su búsqueda. Por ejemplo, los nombres de las bases de datos de Google Cloud deben tener entre tres y 63 caracteres, y contener solo letras minúsculas, números, guiones, guiones bajos y puntos, sin espacios; y los nombres deben comenzar y terminar con un número o letra.

“Nuestros investigadores pudieron escanear la web utilizando una herramienta especial disponible tanto para administradores como para piratas informáticos malintencionados. Buscaron nombres de dominio de los 100 sitios web principales de Alexa en combinación con palabras comunes utilizadas al nombrar grupos como ‘bak’, ‘db’, ‘base de datos’ y ‘usuarios’ ”, explicó Bischoff. “Al filtrar según la entrada de búsqueda y las pautas de nomenclatura, pudieron encontrar más de 2000 depósitos en aproximadamente 2,5 horas. Nuestros investigadores notaron que probablemente podrían mejorar su análisis para cubrir aún más dominios «.

Con la lista de cubos en la mano, los investigadores luego revisaron si cada uno era vulnerable o estaba mal configurado.

“Aquí es donde se detuvo el análisis de nuestros investigadores, pero, por supuesto, un atacante podría llegar mucho más lejos. Por ejemplo, un atacante podría descargar todos los archivos del depósito utilizando la herramienta de línea de comandos ‘gsutils’, una herramienta oficial de Google para administrar depósitos ”, advirtió Bischoff.

Si bien el análisis cubrió solo los depósitos de Google Cloud, el problema de la configuración incorrecta se extiende a otras plataformas; Los cubos S3 de Amazon, por ejemplo, son el medio más popular para que las aplicaciones, los sitios web y los servicios en línea almacenen datos en la nube, y también suelen estar expuestos.

“Dada una mayor dependencia de los sistemas alojados en la nube y los sistemas descentralizados, es increíblemente importante que los equipos de seguridad y TI se eduquen sobre las distintas configuraciones de control de acceso para los servicios en la nube que utilizan”, Joe Moles, vicepresidente de operaciones de seguridad del cliente en Red Canary, dijo por correo electrónico. “Al final del día, este es un síntoma de una higiene de TI inmadura. La mayor parte de este riesgo se puede reducir mediante la maduración de los procesos para realizar un mejor seguimiento de la configuración, el inventario, etc. En pocas palabras: mejor seguridad a través de una mejor TI».

2020 ha tenido su parte de incidentes de alto perfil. Solo en septiembre, se estima que 100.000 clientes de Razer, un proveedor de equipos de juegos de alta gama que van desde computadoras portátiles hasta ropa, vieron su información privada expuesta a través de un servidor Elasticsearch mal configurado.