Abo
  • Services:
Anzeige
Ein Fehler führte zu hohen Kosten für AWS-Instanzen.
Ein Fehler führte zu hohen Kosten für AWS-Instanzen. (Bild: Pexels.com/Montage: Golem.de/CC0 1.0)

Privater Schlüssel: DXC veröffentlicht AWS-Key und muss 64.000 US-Dollar zahlen

Ein Fehler führte zu hohen Kosten für AWS-Instanzen.
Ein Fehler führte zu hohen Kosten für AWS-Instanzen. (Bild: Pexels.com/Montage: Golem.de/CC0 1.0)

Private Schlüssel in freier Wildbahn sind ein verbreitetes Problem. Zuletzt traf es das Sicherheitsunternehmen DXC, das den AWS-Schlüssel versehentlich bei Github hochlud - und dann die Rechnung dafür bekam.

Das Unternehmen DXC Technology muss nach der unabsichtlichen Veröffentlichung eines privaten Schlüssels für Amazons Clouddienst AWS rund 64.000 US-Dollar bezahlen - weil unbekannte Personen den Schlüssel fanden und nutzten, um zahlreiche virtuelle Instanzen bei dem Dienst zu starten, wie The Register berichtet. Der Fehler beeinflusst auch die internen Prozesse des Unternehmens. DXC ist aus der Fusion einer Sparte von HP Enterprise und der Computer Sciences Corporation (CSC) hervorgegangen.

Anzeige

Ein Entwickler des Unternehmens hatte nach Angaben von The Register offenbar versehentlich als Teil eines Github-Committs den privaten AWS-Schlüssel des Unternehmens als Teil eines Projektes hochgeladen. Das Repository war nicht geschützt und konnte also von allen Nutzern eingesehen werden. Der Schlüssel wurde zwar innerhalb von 24 Stunden entdeckt, doch ein Angreifer war offenbar schneller.

Angreifer starteten 244 virtuelle Maschinen

Unbekannte entdeckten den Schlüssel und nutzten diesen, um 244 virtuelle Maschinen bei AWS zu starten. Innerhalb weniger Tage kam so eine Rechnung von rund 64.000 US-Dollar zusammen. Neben der AWS-Rechnung dürften bei DXC weitere Kosten für die Neuerstellung von Schlüsseln, die Änderung von Passwörtern und für die verzögerte Auslieferung eigener Produkte angefallen sein.

In diesem Fall lag der Fehler nicht bei einer fehlerhaften AWS-Konfiguration. Immer wieder veröffentlichen Unternehmen aber ungewollt Nutzerdaten oder legen ihre Infrastruktur offen, weil die Server nicht abgesichert sind. Amazon will daher künftig in der Verwaltung von S3-Buckets davor warnen, wenn große Datenbestände ohne Absicherung auf dem Server liegen.


eye home zur Startseite
quasides 16. Nov 2017

das kann amazon in dieser form noch nicht. in sachen subberechtigungen bzw subadmins war...

Themenstart

LinuxMcBook 15. Nov 2017

Crypto Coins minen? Mal so ins Blaue geraten.

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Rohde & Schwarz Cybersecurity GmbH, Bochum, Köln, Saarbrücken
  2. Robert Bosch GmbH, Abstatt
  3. ETAS GmbH & Co. KG, Stuttgart
  4. Robert Bosch GmbH, Stuttgart-Vaihingen


Anzeige
Hardware-Angebote

Folgen Sie uns
       


  1. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  2. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  3. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  4. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  5. Bauern

    Deutlich über 80 Prozent wollen FTTH

  6. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  7. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On

  8. FTTH

    Bauern am Glasfaserpflug arbeiten mit Netzbetreibern

  9. BGP-Hijacking

    Traffic von Google, Facebook & Co. über Russland umgeleitet

  10. 360-Grad-Kameras im Vergleich

    Alles so schön rund hier



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

  1. Re: Zitat

    LinuxMcBook | 02:32

  2. Re: Natürlich ist man zufrieden

    LinuxMcBook | 02:31

  3. Re: gut erkannt, aber die Gefahr nicht verbannt

    LinuxMcBook | 02:23

  4. Re: "eine Lösung im Sinne der Kunden"

    Eopia | 02:14

  5. Re: "Telefon" gibt es doch gar nicht mehr

    LinuxMcBook | 02:11


  1. 17:47

  2. 17:38

  3. 16:17

  4. 15:50

  5. 15:25

  6. 15:04

  7. 14:22

  8. 13:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel