• IT-Karriere:
  • Services:

Amazon: AWS-Mitarbeiter veröffentlicht Zugangsdaten auf Github

Passwörter, private Schlüssel, Daten von AWS-Kunden und eine Führerscheinkopie: Ein AWS-Mitarbeiter hat umfangreiche Daten auf Github veröffentlicht. Zwar war das Datenleck nur fünf Stunden öffentlich einsehbar - eine missbräuchliche Nutzung kann jedoch nicht ausgeschlossen werden.

Artikel veröffentlicht am ,
Schlüssel zu AWS geleakt.
Schlüssel zu AWS geleakt. (Bild: Lionel Bonaventure/AFP via Getty Images)

Rund fünf Stunden waren Daten eines AWS-Mitarbeiters (Amazon Webservices) auf Github öffentlich zugänglich. Darunter waren Zugangsdaten und AWS-Schlüsselpaare, mit denen sich Dritte Zugriff auf AWS-Dienste verschaffen konnten. Auch offizielle Dokumente enthielt das Datenleck, das eine halbe Stunde nach der Veröffentlichung von der Sicherheitsfirma Upguard entdeckt wurde.

Stellenmarkt
  1. HOTTGENROTH & TACOS GmbH, Münsterland
  2. Ascom Deutschland GmbH, Frankfurt am Main

Die Sicherheitsfirma meldete das Datenleck anschließend an AWS Security, die dafür sorgten, dass die Daten nach insgesamt fünf Stunden wieder aus dem Netz verschwanden. Ob die Daten in dem Zeitraum auch missbräuchlich heruntergeladen wurden, ist unbekannt.

Datenleck mit vielen Zugängen

In mehreren Dokumenten waren Zugangsschlüssel zu Cloud-Diensten enthalten, außerdem Passwörter und private Schlüssel. "Es gab mehrere AWS-Schlüsselpaare, darunter ein Schlüsselpaar mit dem Namen rootkey.csv, was darauf hindeutet, dass es einen Root-Zugriff auf das AWS-Konto des Benutzers ermöglichte", schreibt Upguard. Auch Auth-Tokens und API-Schlüsseln für Drittanbieter seien enthalten gewesen.

Upguard verweist auf eine Studie der Staatlichen Universität North Carolina, demnach lassen sich solche Schlüssel innerhalb kürzester Zeit entdecken. Den Forschern sei es gelungen, 99 Prozent der neu hochgeladenen Schlüssel in Echtzeit zu entdecken. Dies passiere jeden Tag tausendfach.

Golem Akademie
  1. OpenShift Installation & Administration
    14.-16. Juni 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

"Zusätzlich zu den Daten, die sich auf Computersysteme beziehen, wie z. B. Anmeldedaten, Protokolle und Code, enthielt das Repo auch verschiedene Dokumente, die die Identität des Eigentümers und seine Beziehung zu AWS belegen", schreibt Upguard. So habe das Datenleck auch Bankauszüge, Korrespondenz mit AWS-Kunden und Ausweisdokumente einschließlich eines Führerscheins enthalten. Zudem seien interne Schulungsmaterialien von AWS enthalten gewesen sowie Dokumente, die als "Amazon vertraulich" gekennzeichnet gewesen seien.

Auch an einem Datenleck bei der US-Bank Capital One soll eine ehemalige AWS-Mitarbeiterin beteiligt gewesen sein. Im Sommer letzten Jahres waren über 100 Millionen Kunden der Bank betroffen. Die Ex-AWS-Mitarbeiterin hatte Informationen zu dem Hack auf Github veröffentlicht und wurde daraufhin festgenommen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 9,99€ (Vergleichspreis 17,21€)
  2. 16,99€
  3. (u. a. Edna & Harvey: The Breakout - Anniversary Edition für 6,99€, The Daedalic Armageddon...

cruse 06. Feb 2020

Na, dass das jeden Tag tausendfach passiert ;) Ich fand es halt interessant und war...

JohnDo_ 27. Jan 2020

Ich meine mich an eine Statistik zu errinnern, die besagt hat, dass Clouds sogar meist...

sofries 26. Jan 2020

Jeder kann mal Fehler machen und aus Versehen was Falsches committen. Die meisten...

zuschauer 25. Jan 2020

Prinzipiell hast Du Recht. Aus Fehlern lernen ist ein wichtiger Baustein auf dem Weg zur...


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /