Amazon S3: Viele Milliarden Dateien offen zugänglich

Amazon stellt mit seinem S3 (Simple Storage Service) eine beliebte Methode zur Speicherung von größeren Datenmengen mit hohem Traffic dar und wird sowohl von kleinen StartUps als auch von großen Web-Unternehmen genutzt. Die dort gelagerten Dateien enthalten teilweise sensible Informationen über die Unternehmen oder deren Nutzer und sind bei falscher Konfiguration offen zugänglich.

In einem umfangreichen Test hat der Sicherheitsforscher Wil Vandevanter mehr als 12.000 Buckets (Datenspeicher) gefunden, wovon knapp 2000 komplett offen und frei zugänglich waren. In diesen Buckets hat er mehr als 126 Milliarden Dateien (!) gefunden, von denen die Besitzer in den meisten Fällen nicht wissen dürften, dass diese offen auf dem Server liegen.

Vandevanter hat aus dem gigantischen Berg von Dateien eine Stichprobe von 40.000 Dateien genommen und dabei viele unterschiedliche Informationen gefunden: Verkaufsstatistiken, Personalakten, Datenbanken, Backups und sogar die Sourcecodes einer Spiele-App. Bei einem Großteil der Dateien, ca. 60 Prozent, handelte es sich allerdings um Bilddateien.

Um die Daten zu finden hat der Sicherheitsforscher sich einiger Hilfsmittel bedient: Er nahm die Namen der laut Fortune 1000 größten Unternehmen und die Titel der laut Alexa 100.000 größten Webseiten und hat diese als Bucket-URL aufgerufen. Mithilfe der Bing Search API hat er dann herausgefunden ob diese offen sind und die Dateilisten gefunden.

Dem Dienstleister Amazon kann in diesem Fall allerdings keine Schuld zugeschoben werden, da alle Dateien und Buckets standardmäßig auf Privat gestellt und damit nicht zugänglich sind. Erst durch Konfigurationsfehler der Nutzer wurden die Daten öffentlich.

Amazon hat bereits reagiert und warnt die Nutzer der Web Services davor, dass ihre Dateien möglicherweise öffentlich zugänglich sind und diese die Einstellungen überprüfen sollten.