Abo
  • Services:
Anzeige
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen.
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen. (Bild: Github/Screenshot: Golem.de)

Amazon Web Services: Tausende geheime Schlüssel auf Github

Auf dem Hosting-Dienst Github sind offenbar Tausende geheimer Schlüssel zu Amazons Web Services gefunden worden. Damit erhalten Angreifer Root-Zugänge zu den jeweiligen Konten.

Anzeige

Zahlreiche Entwickler, die ihren Code auf Github veröffentlichten, übersahen dabei offensichtlich, die geheimen Root-Schlüssel zu ihren Amazon Web Services zu löschen. Angreifer könnten sie einfach auslesen und sich so Zugang zu den jeweiligen Konten verschaffen. Amazon empfiehlt, stattdessen Benutzerkonten einzurichten und die Root-Schlüssel umgehend bei Github zu löschen.

Mitarbeiter des Security-Unternehmens Threat Intelligence wollen bis zu 10.000 solcher Schlüssel auf Github gefunden haben. Angreifer, die diese Schlüssel erbeutet haben, können auf den Konten nicht nur Dateien löschen, sondern sie auch für Umleitungen missbrauchen. So können zusätzliche Kosten für die unvorsichtigen Entwickler entstehen.

Code aufräumen, Schlüssel tauschen

Sowohl Github als auch Amazon weisen auf ihren Webseiten auf die Problematik hin. Auf Github gibt es eine Anleitung, wie ungewollt veröffentlichte Dateien sowohl bei Github als auch im lokalen Code-Zweig gelöscht werden können. Ende Januar 2014 hatte Github ein Werkzeug veröffentlicht, mit dem unter Stichwörtern wie "BEGIN RSA PRIVATE KEY" und "PASSWORD" Code durchsucht werden kann. Es verwendet Elasticsearch, was wiederum auf der Volltextsuche Lucene basiert.

Amazon hat ebenfalls eine Anleitung veröffentlicht, wie mit Schlüsseln zu seinen Diensten umgegangen werden sollte. Dort wird empfohlen, gar keinen Root-Schlüssel zu verwenden, da er nur selten benötigt wird. Stattdessen sollten Nutzer sogenannte Temporary Security Credentials (IAM Roles) erstellen, die zeitlich begrenzt genutzt werden können. Wer seinen Root-Schlüssel vorsichtshalber mit einem anderen ersetzen will, findet dort ebenfalls Informationen dazu. Ohnehin sollten Root-Schlüssel regelmäßig ausgetauscht werden, empfiehlt Amazon.


eye home zur Startseite
werwurm 26. Mär 2014

Das braucht man gar nicht auf Scriptkiddies beschränken. Ein nicht unerheblicher Teil...



Anzeige

Stellenmarkt
  1. Emsland-Stärke GmbH, Emlichheim
  2. Zühlke Engineering GmbH, Hannover, München, Eschborn (Frankfurt am Main)
  3. Zentrum für Kunst und Medientechnologie Karlsruhe, Karlsruhe
  4. Robert Bosch GmbH, Abstatt


Anzeige
Spiele-Angebote
  1. (-15%) 25,49€
  2. 119,99€ (Vorbesteller-Preisgarantie)
  3. 99,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Mobile-Games-Auslese

    Ninjas, Pyramiden und epische kleine Kämpfe

  2. APS-C

    Tamron stellt 18-400-mm-Objektiv vor

  3. Dateien

    iOS-Dateimanager erhält Zugriff auf weitere Clouddienste

  4. Lucidcam

    3D-Kamera mit 180-Grad-Sicht kommt in den Handel

  5. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  6. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  7. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  8. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

  9. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  10. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen

  1. Re: Der Tod der Streams

    Berner Rösti | 08:40

  2. Re: Nur für Cloud-Dienste?

    nightmar17 | 08:36

  3. Re: Evolution schönt die Verkaufszahlen

    SensenMannLE | 08:33

  4. Re: Sofort verbieten

    AllDayPiano | 08:31

  5. Re: Linux-Quellcode geleaked!

    derdiedas | 08:31


  1. 09:00

  2. 07:38

  3. 07:25

  4. 07:16

  5. 14:37

  6. 14:28

  7. 12:01

  8. 10:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel