Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt

Sicherheitsforscher haben Hunderte Youtube-Tutorials ausgewertet und immer wieder Zugangsdaten entdeckt - mit diesen konnten sie sich auf AWS einloggen.

Ein Bericht von veröffentlicht am
In manchen Youtube-Tutorials stecken AWS-Zugangsdaten.
In manchen Youtube-Tutorials stecken AWS-Zugangsdaten. (Bild: 200degrees/Pixabay/Montage Golem.de)

Ein klassischer Corona-Abend im Mai: Der IT-Sicherheits- und Cloud-Experte Thomas Krauss sieht sich einen Vortrag von einer AWS-Konferenz auf Youtube an. Dort richtet der Speaker gerade ein neues Nutzerkonto samt Passwort ein und erklärt, er müsse sehr schnell machen - damit der Passcode nicht gesehen werden könne. "Warte mal kurz", denkt sich Krauss, spult das Video ein paar Frames zurück und sieht den Zugangscode.

Inhalt:
  1. Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt
  2. Rekognition findet Zugangsdaten für AWS
  3. Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Der Redner auf der AWS-Konferenz ist nur ein Beispiel von vielen. Auf Youtube gibt es etliche Mitschnitte von Konferenzen und Tutorials, bei denen die Vortragenden Cloud-Dienste mit Nutzerkonten einrichten und Zugangsdaten generieren und kopieren. Gemeinsam mit seinen Arbeitskollegen bei der Pentesting-Firma Syss beginnt Krauss, nach Zugangsdaten in Youtube-Videos zu suchen - und wird immer wieder fündig. Ein Sicherheitsproblem.

"Bei den meisten Tutorials werden virtuelle Maschinen eingesetzt, da bringen einem die Zugangsdaten oft nicht viel, aber bei Cloud-Diensten kann sich jeder mit den Zugangsdaten anmelden", erklärt Krauss. Löschen die Vortragenden die Konten nicht unverzüglich, können die Daten von Dritten missbraucht werden, beispielsweise um kostenpflichtige Services zu nutzen oder Bitcoinmining zu betreiben.

Passwörter in fast jedem fünften Youtube-Tutorial

Die Syss-Mitarbeiter wollen wissen, wie groß das Problem wirklich ist und beginnen damit, auf Youtube nach Videos zu suchen, in denen Cloud-Zugangsdaten stecken könnten. Die Videos sehen sie händisch durch und speichern ihre URLs und die Zugangsdaten in einer Liste. "Meist werden die Konten am Ende des ersten Drittels der Tutorials angelegt", erklärt Krauss. Insgesamt sehen sie sich rund 550 Youtube-Videos an und finden in 100 Videos Zugangsdaten. Allerdings sind nicht alle gleich gut lesbar. Vor allem 0 und O oder I und l sehen je nach Schriftart im Terminal oder im Editor ziemlich gleich aus.

Stellenmarkt
  1. IT Coordinator (m/w/d)
    spaceopal GmbH, München
  2. Prozessentwicklung und IT Servicemanagement (w/m/d)
    Schwarz Produktion Stiftung & Co. KG, Weißenfels, Raum Halle/Leipzig
Detailsuche

Also schreibt der IT-Security-Consultant Fabian Krone kurzerhand ein Tool, das die verschiedenen Möglichkeiten generiert und bei AWS durchprobiert. Mit sechs der 100 entdeckten Zugangsdaten können die Sicherheitsforscher sich tatsächlich bei AWS anmelden - die Vortragenden haben die Konten also nicht gelöscht. "Zwischen einem und sechs Prozent der Cloud-Tutorials auf Youtube enthalten valide Zugangsdaten", schätzt Krauss. "Wir haben die Betroffenen über die Zugangsdatenfunde informiert."

Amazon guckt Youtube

Doch über 500 Youtube-Tutorials für sechs valide Zugangsdaten durchzuackern, ist aufwendig. "Die kognitive Aufgabe ist es, Text in einem Video zu erkennen", erklärt Krauss. "Das können auch Maschinen." Um automatisiert nach den AWS-Zugangsdaten zu suchen, greift er ironischerweise auf Amazons Videoauswertungsdienst Rekognition zurück. Das funktioniert zwar, erfordert aber einiges an Arbeit, denn Rekognition versteht noch viel mehr Zeichen falsch als Menschen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Rekognition findet Zugangsdaten für AWS 
  1. 1
  2. 2
  3. 3
  4.  


Eheran 26. Jul 2020

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...



Aktuell auf der Startseite von Golem.de
Copilot und Codewhisperer
KI-Helfer zur Programmierung und Tipps von den Größten

Dev-Update Microsoft, Amazon, Google - die Tech-Größen investieren massiv in KI-Coding-Werkzeuge. Zudem gibt es Tipps für bessere Zusammenarbeit.

Copilot und Codewhisperer: KI-Helfer zur Programmierung und Tipps von den Größten
Artikel
  1. Strom: Wie wahrscheinlich ist ein Blackout?
    Strom
    Wie wahrscheinlich ist ein Blackout?

    "Blackout" könnte das Wort des Jahres werden, so viel wird davon gesprochen. Wir klären, ob Deutschland in diesem Winter wirklich seinen ersten derart verheerenden Stromausfall erleben könnte.
    Eine Analyse von Gerd Mischler

  2. Valve: Portal erscheint mit Raytracing und neuen Texturen
    Valve
    Portal erscheint mit Raytracing und neuen Texturen

    Am 8. Dezember 2022 will Valve den Klassiker Portal mit grafischen Verbesserungen veröffentlichen. Die Systemanforderungen sind hoch.

  3. Bayern: Arbeitszeit von mehr als 10 Stunden am Tag gefordert
    Bayern
    Arbeitszeit von mehr als 10 Stunden am Tag gefordert

    Die bayerische Arbeitsministerin plädiert für mehr Flexibilität am Arbeitsplatz und will mehr als zehn Stunden Arbeit pro Tag erlauben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • LG OLED TV (2022) 55" 120Hz 949€ • Mindstar: Geforce RTX 4080 1.449€ • Tiefstpreise: G.Skill 32GB Kitt DDR5-7200 • 351,99€ Crucial SSD 4TB 319€, HTC Vive Pro 2 659€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger [Werbung]
    •  /