• IT-Karriere:
  • Services:

Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt

Sicherheitsforscher haben Hunderte Youtube-Tutorials ausgewertet und immer wieder Zugangsdaten entdeckt - mit diesen konnten sie sich auf AWS einloggen.

Artikel von veröffentlicht am
In manchen Youtube-Tutorials stecken AWS-Zugangsdaten.
In manchen Youtube-Tutorials stecken AWS-Zugangsdaten. (Bild: 200degrees/Pixabay/Montage Golem.de)

Ein klassischer Corona-Abend im Mai: Der IT-Sicherheits- und Cloud-Experte Thomas Krauss sieht sich einen Vortrag von einer AWS-Konferenz auf Youtube an. Dort richtet der Speaker gerade ein neues Nutzerkonto samt Passwort ein und erklärt, er müsse sehr schnell machen - damit der Passcode nicht gesehen werden könne. "Warte mal kurz", denkt sich Krauss, spult das Video ein paar Frames zurück und sieht den Zugangscode.

Inhalt:
  1. Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt
  2. Rekognition findet Zugangsdaten für AWS
  3. Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Der Redner auf der AWS-Konferenz ist nur ein Beispiel von vielen. Auf Youtube gibt es etliche Mitschnitte von Konferenzen und Tutorials, bei denen die Vortragenden Cloud-Dienste mit Nutzerkonten einrichten und Zugangsdaten generieren und kopieren. Gemeinsam mit seinen Arbeitskollegen bei der Pentesting-Firma Syss beginnt Krauss, nach Zugangsdaten in Youtube-Videos zu suchen - und wird immer wieder fündig. Ein Sicherheitsproblem.

"Bei den meisten Tutorials werden virtuelle Maschinen eingesetzt, da bringen einem die Zugangsdaten oft nicht viel, aber bei Cloud-Diensten kann sich jeder mit den Zugangsdaten anmelden", erklärt Krauss. Löschen die Vortragenden die Konten nicht unverzüglich, können die Daten von Dritten missbraucht werden, beispielsweise um kostenpflichtige Services zu nutzen oder Bitcoinmining zu betreiben.

Passwörter in fast jedem fünften Youtube-Tutorial

Die Syss-Mitarbeiter wollen wissen, wie groß das Problem wirklich ist und beginnen damit, auf Youtube nach Videos zu suchen, in denen Cloud-Zugangsdaten stecken könnten. Die Videos sehen sie händisch durch und speichern ihre URLs und die Zugangsdaten in einer Liste. "Meist werden die Konten am Ende des ersten Drittels der Tutorials angelegt", erklärt Krauss. Insgesamt sehen sie sich rund 550 Youtube-Videos an und finden in 100 Videos Zugangsdaten. Allerdings sind nicht alle gleich gut lesbar. Vor allem 0 und O oder I und l sehen je nach Schriftart im Terminal oder im Editor ziemlich gleich aus.

Stellenmarkt
  1. Nagel-Group | Kraftverkehr Nagel SE & Co. KG, Berlin, Hamburg, Frankfurt am Main, München
  2. Kassenärztliche Vereinigung Niedersachsen, Hannover (Home-Office möglich)

Also schreibt der IT-Security-Consultant Fabian Krone kurzerhand ein Tool, das die verschiedenen Möglichkeiten generiert und bei AWS durchprobiert. Mit sechs der 100 entdeckten Zugangsdaten können die Sicherheitsforscher sich tatsächlich bei AWS anmelden - die Vortragenden haben die Konten also nicht gelöscht. "Zwischen einem und sechs Prozent der Cloud-Tutorials auf Youtube enthalten valide Zugangsdaten", schätzt Krauss. "Wir haben die Betroffenen über die Zugangsdatenfunde informiert."

Amazon guckt Youtube

Doch über 500 Youtube-Tutorials für sechs valide Zugangsdaten durchzuackern, ist aufwendig. "Die kognitive Aufgabe ist es, Text in einem Video zu erkennen", erklärt Krauss. "Das können auch Maschinen." Um automatisiert nach den AWS-Zugangsdaten zu suchen, greift er ironischerweise auf Amazons Videoauswertungsdienst Rekognition zurück. Das funktioniert zwar, erfordert aber einiges an Arbeit, denn Rekognition versteht noch viel mehr Zeichen falsch als Menschen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Rekognition findet Zugangsdaten für AWS 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)

Eheran 26. Jul 2020

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...

tatiplut 24. Jul 2020

Naja aber dann hat man ja das gleiche Problem. Anstatt in einer Textdatei Nutzername und...


Folgen Sie uns
       


Purism Librem 5 - Test

Das Librem 5 ist ein Linux-Smartphone, das den Namen wirklich verdient. Das Gerät enttäuscht aber selbst hartgesottene Linuxer.

Purism Librem 5 - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /