Abo
  • Services:
Anzeige
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen.
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen. (Bild: Github/Screenshot: Golem.de)

Amazon Web Services: Tausende geheime Schlüssel auf Github

Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen.
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen. (Bild: Github/Screenshot: Golem.de)

Auf dem Hosting-Dienst Github sind offenbar Tausende geheimer Schlüssel zu Amazons Web Services gefunden worden. Damit erhalten Angreifer Root-Zugänge zu den jeweiligen Konten.

Zahlreiche Entwickler, die ihren Code auf Github veröffentlichten, übersahen dabei offensichtlich, die geheimen Root-Schlüssel zu ihren Amazon Web Services zu löschen. Angreifer könnten sie einfach auslesen und sich so Zugang zu den jeweiligen Konten verschaffen. Amazon empfiehlt, stattdessen Benutzerkonten einzurichten und die Root-Schlüssel umgehend bei Github zu löschen.

Anzeige

Mitarbeiter des Security-Unternehmens Threat Intelligence wollen bis zu 10.000 solcher Schlüssel auf Github gefunden haben. Angreifer, die diese Schlüssel erbeutet haben, können auf den Konten nicht nur Dateien löschen, sondern sie auch für Umleitungen missbrauchen. So können zusätzliche Kosten für die unvorsichtigen Entwickler entstehen.

Code aufräumen, Schlüssel tauschen

Sowohl Github als auch Amazon weisen auf ihren Webseiten auf die Problematik hin. Auf Github gibt es eine Anleitung, wie ungewollt veröffentlichte Dateien sowohl bei Github als auch im lokalen Code-Zweig gelöscht werden können. Ende Januar 2014 hatte Github ein Werkzeug veröffentlicht, mit dem unter Stichwörtern wie "BEGIN RSA PRIVATE KEY" und "PASSWORD" Code durchsucht werden kann. Es verwendet Elasticsearch, was wiederum auf der Volltextsuche Lucene basiert.

Amazon hat ebenfalls eine Anleitung veröffentlicht, wie mit Schlüsseln zu seinen Diensten umgegangen werden sollte. Dort wird empfohlen, gar keinen Root-Schlüssel zu verwenden, da er nur selten benötigt wird. Stattdessen sollten Nutzer sogenannte Temporary Security Credentials (IAM Roles) erstellen, die zeitlich begrenzt genutzt werden können. Wer seinen Root-Schlüssel vorsichtshalber mit einem anderen ersetzen will, findet dort ebenfalls Informationen dazu. Ohnehin sollten Root-Schlüssel regelmäßig ausgetauscht werden, empfiehlt Amazon.


eye home zur Startseite
werwurm 26. Mär 2014

Das braucht man gar nicht auf Scriptkiddies beschränken. Ein nicht unerheblicher Teil...



Anzeige

Stellenmarkt
  1. A. Menarini Research & Business Service GmbH, Berlin
  2. dm-drogerie markt GmbH + Co. KG, Karlsruhe
  3. Sky Deutschland GmbH, Unterföhring
  4. Fresenius Medical Care Deutschland GmbH, Schweinfurt


Anzeige
Blu-ray-Angebote
  1. 12,99€
  2. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)

Folgen Sie uns
       


  1. Apple

    Ladestation Airpower soll im März 2018 auf den Markt kommen

  2. Radeon Software Adrenalin 18.2.3

    AMD-Treiber macht Sea of Thieves schneller

  3. Lifebook U938

    Das fast perfekte Business-Ultrabook bekommt vier Kerne

  4. Wochenrückblick

    Früher war nicht alles besser

  5. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  6. Cloud

    AWS bringt den Appstore für Serverless-Software

  7. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  8. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  9. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  10. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Immer dieses Telekombashing!

    bombinho | 17:26

  2. Re: XBox One X ist ein Totalflop :-)

    HubertHans | 17:24

  3. Re: Habe noch nie verstanden...

    Teebecher | 17:22

  4. Re: Wieso nicht als SSD-HDD?

    JouMxyzptlk | 17:21

  5. Evolutions - Strategien

    senf.dazu | 17:20


  1. 11:53

  2. 11:26

  3. 11:14

  4. 09:02

  5. 17:17

  6. 16:50

  7. 16:05

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel