Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt

Sicherheitsforscher haben Hunderte Youtube-Tutorials ausgewertet und immer wieder Zugangsdaten entdeckt - mit diesen konnten sie sich auf AWS einloggen.

Artikel von veröffentlicht am
In manchen Youtube-Tutorials stecken AWS-Zugangsdaten.
In manchen Youtube-Tutorials stecken AWS-Zugangsdaten. (Bild: 200degrees/Pixabay/Montage Golem.de)

Ein klassischer Corona-Abend im Mai: Der IT-Sicherheits- und Cloud-Experte Thomas Krauss sieht sich einen Vortrag von einer AWS-Konferenz auf Youtube an. Dort richtet der Speaker gerade ein neues Nutzerkonto samt Passwort ein und erklärt, er müsse sehr schnell machen - damit der Passcode nicht gesehen werden könne. "Warte mal kurz", denkt sich Krauss, spult das Video ein paar Frames zurück und sieht den Zugangscode.

Inhalt:
  1. Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt
  2. Rekognition findet Zugangsdaten für AWS
  3. Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Der Redner auf der AWS-Konferenz ist nur ein Beispiel von vielen. Auf Youtube gibt es etliche Mitschnitte von Konferenzen und Tutorials, bei denen die Vortragenden Cloud-Dienste mit Nutzerkonten einrichten und Zugangsdaten generieren und kopieren. Gemeinsam mit seinen Arbeitskollegen bei der Pentesting-Firma Syss beginnt Krauss, nach Zugangsdaten in Youtube-Videos zu suchen - und wird immer wieder fündig. Ein Sicherheitsproblem.

"Bei den meisten Tutorials werden virtuelle Maschinen eingesetzt, da bringen einem die Zugangsdaten oft nicht viel, aber bei Cloud-Diensten kann sich jeder mit den Zugangsdaten anmelden", erklärt Krauss. Löschen die Vortragenden die Konten nicht unverzüglich, können die Daten von Dritten missbraucht werden, beispielsweise um kostenpflichtige Services zu nutzen oder Bitcoinmining zu betreiben.

Passwörter in fast jedem fünften Youtube-Tutorial

Die Syss-Mitarbeiter wollen wissen, wie groß das Problem wirklich ist und beginnen damit, auf Youtube nach Videos zu suchen, in denen Cloud-Zugangsdaten stecken könnten. Die Videos sehen sie händisch durch und speichern ihre URLs und die Zugangsdaten in einer Liste. "Meist werden die Konten am Ende des ersten Drittels der Tutorials angelegt", erklärt Krauss. Insgesamt sehen sie sich rund 550 Youtube-Videos an und finden in 100 Videos Zugangsdaten. Allerdings sind nicht alle gleich gut lesbar. Vor allem 0 und O oder I und l sehen je nach Schriftart im Terminal oder im Editor ziemlich gleich aus.

Stellenmarkt
  1. IT Service- und Projektmanager (m/w/d)
    Heidelberg Engineering GmbH, Heidelberg
  2. Softwareentwickler Embedded Linux (m/w/d)
    Ebee Smart Technologies GmbH, Berlin
Detailsuche

Also schreibt der IT-Security-Consultant Fabian Krone kurzerhand ein Tool, das die verschiedenen Möglichkeiten generiert und bei AWS durchprobiert. Mit sechs der 100 entdeckten Zugangsdaten können die Sicherheitsforscher sich tatsächlich bei AWS anmelden - die Vortragenden haben die Konten also nicht gelöscht. "Zwischen einem und sechs Prozent der Cloud-Tutorials auf Youtube enthalten valide Zugangsdaten", schätzt Krauss. "Wir haben die Betroffenen über die Zugangsdatenfunde informiert."

Amazon guckt Youtube

Doch über 500 Youtube-Tutorials für sechs valide Zugangsdaten durchzuackern, ist aufwendig. "Die kognitive Aufgabe ist es, Text in einem Video zu erkennen", erklärt Krauss. "Das können auch Maschinen." Um automatisiert nach den AWS-Zugangsdaten zu suchen, greift er ironischerweise auf Amazons Videoauswertungsdienst Rekognition zurück. Das funktioniert zwar, erfordert aber einiges an Arbeit, denn Rekognition versteht noch viel mehr Zeichen falsch als Menschen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Rekognition findet Zugangsdaten für AWS 
  1. 1
  2. 2
  3. 3
  4.  


Eheran 26. Jul 2020

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...

tatiplut 24. Jul 2020

Naja aber dann hat man ja das gleiche Problem. Anstatt in einer Textdatei Nutzername und...



Aktuell auf der Startseite von Golem.de
Elektrisches Showcar
Maybach hat Solarzellen und durchsichtige Motorhaube

Virgil Abloh und Mercedes-Benz haben einen solarbetriebenen, elektrischen Maybach mit transparenter Motorhaube als Showcar entworfen.

Elektrisches Showcar: Maybach hat Solarzellen und durchsichtige Motorhaube
Artikel
  1. Kryptowährungen: EU-Staaten wollen Bitcoin komplett nachverfolgen
    Kryptowährungen
    EU-Staaten wollen Bitcoin komplett nachverfolgen

    Sogenannte Kryptowährungen wie Bitcoin sollen künftig ähnlichen Transparenzregeln unterliegen wie normale Geldtransfers.

  2. Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
    Pornhub, Youporn, Mydirtyhobby
    Gericht bestätigt Zugangsverbot für Pornoportale

    Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

  3. Ziele gänzlich verfehlt: Rechnungshof hält De-Mail für teuren Misserfolg
    "Ziele gänzlich verfehlt"
    Rechnungshof hält De-Mail für teuren Misserfolg

    Das Innenministerium hat die Nutzung von De-Mail um den Faktor 1.000 falsch eingeschätzt. Es soll daher die Einstellung des Dienstes prüfen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Verkauf bei MediaMarkt & Saturn • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" Curved QLED 240Hz 1.149€) • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Spiele günstiger: PC, PS5, Xbox, Switch • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /