Original-URL des Artikels: https://www.golem.de/news/amazon-aws-mitarbeiter-veroeffentlicht-zugangsdaten-auf-github-2001-146263.html    Veröffentlicht: 24.01.2020 13:12    Kurz-URL: https://glm.io/146263

Amazon

AWS-Mitarbeiter veröffentlicht Zugangsdaten auf Github

Passwörter, private Schlüssel, Daten von AWS-Kunden und eine Führerscheinkopie: Ein AWS-Mitarbeiter hat umfangreiche Daten auf Github veröffentlicht. Zwar war das Datenleck nur fünf Stunden öffentlich einsehbar - eine missbräuchliche Nutzung kann jedoch nicht ausgeschlossen werden.

Rund fünf Stunden waren Daten eines AWS-Mitarbeiters (Amazon Webservices) auf Github öffentlich zugänglich. Darunter waren Zugangsdaten und AWS-Schlüsselpaare, mit denen sich Dritte Zugriff auf AWS-Dienste verschaffen konnten. Auch offizielle Dokumente enthielt das Datenleck, das eine halbe Stunde nach der Veröffentlichung von der Sicherheitsfirma Upguard entdeckt wurde.

Die Sicherheitsfirma meldete das Datenleck anschließend an AWS Security, die dafür sorgten, dass die Daten nach insgesamt fünf Stunden wieder aus dem Netz verschwanden. Ob die Daten in dem Zeitraum auch missbräuchlich heruntergeladen wurden, ist unbekannt.

Datenleck mit vielen Zugängen

In mehreren Dokumenten waren Zugangsschlüssel zu Cloud-Diensten enthalten, außerdem Passwörter und private Schlüssel. "Es gab mehrere AWS-Schlüsselpaare, darunter ein Schlüsselpaar mit dem Namen rootkey.csv, was darauf hindeutet, dass es einen Root-Zugriff auf das AWS-Konto des Benutzers ermöglichte", schreibt Upguard. Auch Auth-Tokens und API-Schlüsseln für Drittanbieter seien enthalten gewesen.

Upguard verweist auf eine Studie der Staatlichen Universität North Carolina, demnach lassen sich solche Schlüssel innerhalb kürzester Zeit entdecken. Den Forschern sei es gelungen, 99 Prozent der neu hochgeladenen Schlüssel in Echtzeit zu entdecken. Dies passiere jeden Tag tausendfach.

"Zusätzlich zu den Daten, die sich auf Computersysteme beziehen, wie z. B. Anmeldedaten, Protokolle und Code, enthielt das Repo auch verschiedene Dokumente, die die Identität des Eigentümers und seine Beziehung zu AWS belegen", schreibt Upguard. So habe das Datenleck auch Bankauszüge, Korrespondenz mit AWS-Kunden und Ausweisdokumente einschließlich eines Führerscheins enthalten. Zudem seien interne Schulungsmaterialien von AWS enthalten gewesen sowie Dokumente, die als "Amazon vertraulich" gekennzeichnet gewesen seien.

Auch an einem Datenleck bei der US-Bank Capital One soll eine ehemalige AWS-Mitarbeiterin beteiligt gewesen sein. Im Sommer letzten Jahres waren über 100 Millionen Kunden der Bank betroffen. Die Ex-AWS-Mitarbeiterin hatte Informationen zu dem Hack auf Github veröffentlicht und wurde daraufhin festgenommen.

 (mtr)


Verwandte Artikel:
Alexa: Amazon hat fremde Sprachdateien weitergegeben   
(20.12.2018, https://glm.io/138343 )
Passwortmanager: Kundendaten von Onelogin gehackt   
(02.06.2017, https://glm.io/128189 )
Datenleck: Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz   
(23.01.2020, https://glm.io/146229 )
Autovermietung: Daten von Millionen Buchbinder-Kunden offen im Netz   
(22.01.2020, https://glm.io/146213 )
Datenschutz: Rechtsanwaltskanzlei zählt 160.000 DSGVO-Verstöße   
(21.01.2020, https://glm.io/146173 )

© 1997–2020 Golem.de, https://www.golem.de/