• IT-Karriere:
  • Services:

Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt

Sicherheitsforscher haben Hunderte Youtube-Tutorials ausgewertet und immer wieder Zugangsdaten entdeckt - mit diesen konnten sie sich auf AWS einloggen.

Artikel von veröffentlicht am
In manchen Youtube-Tutorials stecken AWS-Zugangsdaten.
In manchen Youtube-Tutorials stecken AWS-Zugangsdaten. (Bild: 200degrees/Pixabay/Montage Golem.de)

Ein klassischer Corona-Abend im Mai: Der IT-Sicherheits- und Cloud-Experte Thomas Krauss sieht sich einen Vortrag von einer AWS-Konferenz auf Youtube an. Dort richtet der Speaker gerade ein neues Nutzerkonto samt Passwort ein und erklärt, er müsse sehr schnell machen - damit der Passcode nicht gesehen werden könne. "Warte mal kurz", denkt sich Krauss, spult das Video ein paar Frames zurück und sieht den Zugangscode.

Inhalt:
  1. Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt
  2. Rekognition findet Zugangsdaten für AWS
  3. Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Der Redner auf der AWS-Konferenz ist nur ein Beispiel von vielen. Auf Youtube gibt es etliche Mitschnitte von Konferenzen und Tutorials, bei denen die Vortragenden Cloud-Dienste mit Nutzerkonten einrichten und Zugangsdaten generieren und kopieren. Gemeinsam mit seinen Arbeitskollegen bei der Pentesting-Firma Syss beginnt Krauss, nach Zugangsdaten in Youtube-Videos zu suchen - und wird immer wieder fündig. Ein Sicherheitsproblem.

"Bei den meisten Tutorials werden virtuelle Maschinen eingesetzt, da bringen einem die Zugangsdaten oft nicht viel, aber bei Cloud-Diensten kann sich jeder mit den Zugangsdaten anmelden", erklärt Krauss. Löschen die Vortragenden die Konten nicht unverzüglich, können die Daten von Dritten missbraucht werden, beispielsweise um kostenpflichtige Services zu nutzen oder Bitcoinmining zu betreiben.

Passwörter in fast jedem fünften Youtube-Tutorial

Die Syss-Mitarbeiter wollen wissen, wie groß das Problem wirklich ist und beginnen damit, auf Youtube nach Videos zu suchen, in denen Cloud-Zugangsdaten stecken könnten. Die Videos sehen sie händisch durch und speichern ihre URLs und die Zugangsdaten in einer Liste. "Meist werden die Konten am Ende des ersten Drittels der Tutorials angelegt", erklärt Krauss. Insgesamt sehen sie sich rund 550 Youtube-Videos an und finden in 100 Videos Zugangsdaten. Allerdings sind nicht alle gleich gut lesbar. Vor allem 0 und O oder I und l sehen je nach Schriftart im Terminal oder im Editor ziemlich gleich aus.

Stellenmarkt
  1. Pfennigparade SIGMETA GmbH, München
  2. Ziehm Imaging GmbH, Nürnberg

Also schreibt der IT-Security-Consultant Fabian Krone kurzerhand ein Tool, das die verschiedenen Möglichkeiten generiert und bei AWS durchprobiert. Mit sechs der 100 entdeckten Zugangsdaten können die Sicherheitsforscher sich tatsächlich bei AWS anmelden - die Vortragenden haben die Konten also nicht gelöscht. "Zwischen einem und sechs Prozent der Cloud-Tutorials auf Youtube enthalten valide Zugangsdaten", schätzt Krauss. "Wir haben die Betroffenen über die Zugangsdatenfunde informiert."

Amazon guckt Youtube

Doch über 500 Youtube-Tutorials für sechs valide Zugangsdaten durchzuackern, ist aufwendig. "Die kognitive Aufgabe ist es, Text in einem Video zu erkennen", erklärt Krauss. "Das können auch Maschinen." Um automatisiert nach den AWS-Zugangsdaten zu suchen, greift er ironischerweise auf Amazons Videoauswertungsdienst Rekognition zurück. Das funktioniert zwar, erfordert aber einiges an Arbeit, denn Rekognition versteht noch viel mehr Zeichen falsch als Menschen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Rekognition findet Zugangsdaten für AWS 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. 139,90€
  2. täglich neue Deals bei Alternate.de

Eheran 26. Jul 2020 / Themenstart

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020 / Themenstart

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020 / Themenstart

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020 / Themenstart

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...

tatiplut 24. Jul 2020 / Themenstart

Naja aber dann hat man ja das gleiche Problem. Anstatt in einer Textdatei Nutzername und...

Kommentieren


Folgen Sie uns
       


Cyberpunk 2077 angespielt

Cyberpunk 2077 dürfte ein angenehm forderndes und im positiven Sinne komplexes Abenteuer werden.

Cyberpunk 2077 angespielt Video aufrufen
    •  /