Abo
  • Services:
Anzeige
Ein Fehler führte zu hohen Kosten für AWS-Instanzen.
Ein Fehler führte zu hohen Kosten für AWS-Instanzen. (Bild: Pexels.com/Montage: Golem.de/CC0 1.0)

Privater Schlüssel: DXC veröffentlicht AWS-Key und muss 64.000 US-Dollar zahlen

Ein Fehler führte zu hohen Kosten für AWS-Instanzen.
Ein Fehler führte zu hohen Kosten für AWS-Instanzen. (Bild: Pexels.com/Montage: Golem.de/CC0 1.0)

Private Schlüssel in freier Wildbahn sind ein verbreitetes Problem. Zuletzt traf es das Sicherheitsunternehmen DXC, das den AWS-Schlüssel versehentlich bei Github hochlud - und dann die Rechnung dafür bekam.

Das Unternehmen DXC Technology muss nach der unabsichtlichen Veröffentlichung eines privaten Schlüssels für Amazons Clouddienst AWS rund 64.000 US-Dollar bezahlen - weil unbekannte Personen den Schlüssel fanden und nutzten, um zahlreiche virtuelle Instanzen bei dem Dienst zu starten, wie The Register berichtet. Der Fehler beeinflusst auch die internen Prozesse des Unternehmens. DXC ist aus der Fusion einer Sparte von HP Enterprise und der Computer Sciences Corporation (CSC) hervorgegangen.

Anzeige

Ein Entwickler des Unternehmens hatte nach Angaben von The Register offenbar versehentlich als Teil eines Github-Committs den privaten AWS-Schlüssel des Unternehmens als Teil eines Projektes hochgeladen. Das Repository war nicht geschützt und konnte also von allen Nutzern eingesehen werden. Der Schlüssel wurde zwar innerhalb von 24 Stunden entdeckt, doch ein Angreifer war offenbar schneller.

Angreifer starteten 244 virtuelle Maschinen

Unbekannte entdeckten den Schlüssel und nutzten diesen, um 244 virtuelle Maschinen bei AWS zu starten. Innerhalb weniger Tage kam so eine Rechnung von rund 64.000 US-Dollar zusammen. Neben der AWS-Rechnung dürften bei DXC weitere Kosten für die Neuerstellung von Schlüsseln, die Änderung von Passwörtern und für die verzögerte Auslieferung eigener Produkte angefallen sein.

In diesem Fall lag der Fehler nicht bei einer fehlerhaften AWS-Konfiguration. Immer wieder veröffentlichen Unternehmen aber ungewollt Nutzerdaten oder legen ihre Infrastruktur offen, weil die Server nicht abgesichert sind. Amazon will daher künftig in der Verwaltung von S3-Buckets davor warnen, wenn große Datenbestände ohne Absicherung auf dem Server liegen.


eye home zur Startseite
quasides 16. Nov 2017

das kann amazon in dieser form noch nicht. in sachen subberechtigungen bzw subadmins war...

LinuxMcBook 15. Nov 2017

Crypto Coins minen? Mal so ins Blaue geraten.



Anzeige

Stellenmarkt
  1. über JBH-Management- & Personalberatung Herget, keine Angabe
  2. über duerenhoff GmbH, Hannover
  3. MOMENI Gruppe, Hamburg
  4. Karer Consulting AG, Weingarten, Göppingen (Home-Office möglich)


Anzeige
Top-Angebote
  1. zusammen nur 3,99€
  2. 699,00€
  3. 37,49€

Folgen Sie uns
       


  1. Ohrhörer

    Neue Airpods sollen Hey Siri unterstützen

  2. Amazon Go

    Sechs weitere kassenlose Supermärkte geplant

  3. Elektromobilität

    UPS arbeitet an elektrischem Lieferwagen

  4. VBB Fahrcard

    E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht

  5. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  6. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  7. Smach Z

    PC-Handheld nutzt Ryzen V1000

  8. Staatstrojaner und Quick-Freeze

    Österreich verschärft frühere Überwachungspläne

  9. Allensbach-Studie

    Altersvorsorge selbständiger IT-Experten ist sehr solide

  10. Maschinelles Lernen

    Biometrisches Captcha nutzt Sprache und Bild



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. EU-Urheberrechtsreform Kompromissvorschlag hält an Uploadfiltern fest
  2. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  3. Fake News Murdoch fordert von Facebook Sendegebühr für Medien

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

  1. Re: Und warum funktioniert das nur in München?

    chefin | 07:30

  2. Re: Noch nie einen Fahrer gehabt der eine Karte...

    Thiesi | 07:26

  3. Re: sich Freenet nennen aber kostenpflichtig sein

    ProfessorNoetig... | 07:23

  4. Re: Stark, wenn man die Telco Themen von heute...

    solary | 07:22

  5. Re: "Geräusch von Türen"

    JackIsBlack | 07:18


  1. 07:46

  2. 07:38

  3. 07:17

  4. 18:21

  5. 18:09

  6. 18:00

  7. 17:45

  8. 17:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel