Uno de cada seis ‘cubos’ de Amazon S3 está lleno de agujeros de seguridad

Usando técnicas relativamente simples, la firma de seguridad Rapid7 ha descubierto que es posible acceder a información confidencial en uno de cada seis ‘cubos’ del sistema de almacenamiento en nube Amazon Simple Storage Service (S3).

Según los investigadores de Rapid 7 los usuarios y no Amazon serían los responsables ya que la configuración por defecto de estos cubos es ‘privado’ y 1.951 cubos de ellos investigados se encontraron abiertos al público revelando información confidencial. Entre ellos:

– Fotos personales de una red social.

– Registros de ventas e información contable de un gran concesionario de coches.

– Datos de afiliados, porcentajes de click-through e información contable de una agencia de publicidad.

– Información personal de empleados y listas de miembros en varias hojas de cálculo.

– Copias de seguridad de bases de datos sin proteger que contienen datos de webs y contraseñas cifradas.

– Código fuente de vídeo juegos y herramientas de programación de una empresa de juegos para móviles.

– Código PHP que incluía ficheros de configuración que contenían nombres de usuarios y contraseñas.

La solución según Rapid7 es sencilla: «Comprueba tu cubo. Si está abierto, determina si no te preocupa el acceso a su contenido… y si el contenido debe ser privado, consulta el tutorial de Amazon sobre como bloquearlo».

Para encontrar cubos que anteriormente estuvieran abiertos recomiendan el uso de WayBackMachine.