-- Publicidad --

Amazon tiene billeteras Bitcoin con claves privadas de libre acceso en la red

-- Publicidad --

Un investigador encontró miles de volúmenes de datos confidenciales de Elastic Block Store de acceso abierto en la web, donde se podían buscar arbitrariamente.


Toneladas de código fuente confidencial, bases de datos con datos personales que incluyen contraseña de administrador, datos de inicio de sesión VPN, claves AWS, tokens Google OAuth, claves privadas SSH, billeteras de Bitcoin que incluyen claves privadas: todo esto fue un investigador de libre acceso en la red. Porque los usuarios de Amazon Web Services configuran intencionalmente sus discos virtuales de “privado” a “público”.

La buena noticia: el pirata informático Ben Morris, que encontró diez o incluso cientos de miles de volúmenes de Elastic Block Store (EBS) de acceso libre, les da a los usuarios preocupados dos semanas de sobra. Solo entonces publicará en Github su bolsa de lona llamada software para buscar en los volúmenes públicos de EBS.

Cambio consecuente a “público”

Los discos virtuales se crean automáticamente cuando una instancia de Elastic Compute Cloud (EC2) requiere almacenamiento. Como Morris explicó durante su discurso en el contexto de la DEF CON 27, Amazon establece la memoria EBS por defecto en “privado”, es decir, no se puede acceder libremente desde Internet. Por lo tanto, los volúmenes descubiertos por el hacker deben haber sido configurados deliberadamente como “públicos” por sus usuarios.

El problema aquí es que la memoria EBS pública, no encriptada, se puede buscar arbitrariamente. A diferencia de los buckets de Amazon S3, a los que solo se puede acceder si conoce su nombre exacto. Dado que, según Ben Morris, prácticamente cualquier persona puede buscar datos confidenciales almacenados en volúmenes EBS, deben considerarse comprometidos en el caso de un volumen “público”. El hacker aconseja eliminar inmediatamente los volúmenes de EBS que se almacenan con datos confidenciales de la red y cambiar de inmediato los datos de inicio de sesión que se hayan revelado de esta manera.

Rich loot: datos confidenciales de todo tipo

La lista de datos confidenciales descubiertos por Morris es larga. Encontró entre otras cosas: aplicaciones web que incluyen código fuente, claves API y contraseñas de bases de datos; Las claves de AWS se utilizan para navegar en un bot programado por un proveedor de servicios que rastrea las actividades de redes sociales de la organización terrorista Estado Islámico en nombre del gobierno de los Estados Unidos; Credenciales de usuario de una cuenta “raíz” que habría asumido completamente la cuenta de AWS asociada; una instalación de Jenkins de una importante compañía de software que trabaja como proveedor de Apple y Salesforce, incluido el código fuente confidencial y la información de inicio de sesión; Archivos de conexión de OpenVPN; Instalaciones de WordPress que incluyen hashes de contraseñas; Billeteras Bitcoin que incluyen claves privadas y bases de datos SQL que contienen decenas de miles de datos personales, incluidas direcciones de correo electrónico y contraseñas hash.

Morris trató todos los descubrimientos de acuerdo con el lema “solo mira, no toques”. No utilizó credenciales de inicio de sesión y eliminó todos los datos recopilados después de la evaluación.

La herramienta Dufflebag pronto estará disponible públicamente

Descubrió los volúmenes usando Dufflebag, que simplemente usa las funciones proporcionadas por la API de AWS EBS para duplicar volúmenes públicos, copiar la copia a la instancia EC2 del hacker, navegar a través de listas blancas y negras, y luego cerrar sesión nuevamente. para no producir costos innecesarios. Tomó entre dos y cinco minutos por volumen.

En general, el hacker afirma haber pagado más de $ 300 a Amazon para buscar alrededor de 20,000 volúmenes de EBS. Ha seleccionado los volúmenes en base a criterios de filtro para mantener el esfuerzo razonablemente aceptable. No buscó volúmenes de más de 100 gigabytes y ninguno que perteneciera a los 5 principales creadores de volúmenes. Según Morris, Amazon estaba entre los 5 mejores y Github. Sus datos disponibles al público rápidamente han hecho que Ben Morris no sea interesante.

 

www.criptomonedaseico.com


¡Asegúrese de no perderse ninguna noticia importante relacionada con Criptomonedas! Siga nuestro feed de noticias de la forma que prefieras; a través de Twitter, Facebook, Telegram, RSS o correo electrónico (desplácese hacia abajo hasta la parte inferior de esta página para suscribirse). Bitcoin nunca duerme. Tampoco nosotros.


Descargo de Responsabilidad: Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir. Las opiniones expresadas en este artículo son las del autor y no representan necesariamente los puntos de vista de CriptomonedaseICO, y no deben ser atribuidas a, CriptomonedaseICO.


Síguenos en Telegram

 

-- Publicidad --

-- Publicidad --

-- Publicidad --

Deja una respuesta

Su dirección de correo electrónico no será publicada.

Suscríbete a nuestro Boletín de Noticias
Regístrese aquí para recibir las últimas noticias y actualizaciones directamente en su bandeja de entrada.
Puedes darte de baja en cualquier momento
+ +