Z chmury Amazonu wyciekły dane 250 milionów Amerykanów

Fot. amazon
Jeden z serwerów Amazon Web Services miał wadliwe zabezpieczenia dostępu. Każdy mógł pobrać dane amerykańskich wyborców.

Amazon Web Services (AWS) jest platformą oferującą usługi przechowywania i przetwarzania danych w chmurze. Z serwerów AWS korzystają najwięksi usługodawcy online, znani na całym świecie. Chodzi m.in. o AirBnB, Netflix, Pinterest i wiele innych firm. Tym samym w AWS znajdują się dane praktycznie wszystkich mieszkańców USA. Tymczasem 6 października firma UpGuard odkryła, że dostęp do nich miał każdy, kto miał założone konto w Amazon Web Services (AWS).

Powodem wycieku danych była najprawdopodobniej wadliwa konfiguracja dostępu do usług S3cloud. Amazon S3 (Amazon Simple Storage Service) pełni rolę nośnika danych w chmurze dla wszelkiego typu informacji przechowywanych i przetwarzanych przez usługodawców online korzystających z AWS. Okazało się, że poprzez subdomenę „alteryxdownload”, należącą do firmy analitycznej Alteryx, możliwe było uzyskanie dostępu do poufnych informacji o konsumentach. Teoretycznie powinno być to  możliwe tylko dla uprawnionych osób. Niestety, z powodu błędnej konfiguracji dostęp do zasobów miał tak naprawdę każdy, kto miał jakiekolwiek konto dostępowe do AWS. A ponieważ rejestracja w AWS jest bezpłatna, to każdy mógł sprawdzić, gdzie mieszkają i co kupują Amerykanie, bowiem w chmurze znalazły się adresy, informacje o posiadanych nieruchomościach i oczywiście dane dotyczące kupowanych rzeczy, czy subskrybowanych usług.

Na serwerze Amazonu znajdował się plik z danymi większości obywateli Stanów Zjednoczonych (fot. UpGuard)

Dane zajmują blisko 35 gigabajtów i pochodzą z 2012 i 2013 roku. Są to informacje bardzo szczegółowe i można z nich wyczytać na przykład to, czy ktoś lubi koty, albo czy czyta książki. Amerykańskich obywateli podzielono na 19 głównych grup i przypisano każdej osobie 71 cech. Informacje zostały zebrane na potrzeby amerykańskiej administracji, która zajmowała się wyborami.

Plik zawiera wrażliwe dane (fot. UpGuard)
Plik zawiera wrażliwe dane (fot. UpGuard)

Ta sytuacja stawia pod znakiem zapytania bezpieczeństwo w centrach danych obsługujących usługi w chmurze. To już kolejny przypadek dużego wycieku z chmury, możliwe że tym razem najpoważniejszy z dotychczasowych. Miesiąc temu informowaliśmy o wycieku z Pentagonu. Prawdopodobnie dane były umieszczone na tym samym niezabezpieczonym serwerze. W tym roku dowiedzieliśmy się też o włamaniu na konto firmy analitycznej Deloitte na platformie Microsoft Azure.
| CHIP