Milliarden von internen Firmendokumenten sind ohne Zugriffsbeschränkungen im Netz von jedermann aufrufbar. Neben falsch konfigurierten Amazon-S3-Cloudkonten werden auch SMB, FTP und rsync benutzt, um Backups in öffentliche Ordner zu laden. Das geht aus einem Bericht der Sicherheitsfirma Digital Shadows hervor. Die Firma hatte gut 12 Petabyte solcher Daten im Netz aufgespürt – insgesamt knapp 1,5 Milliarden Dateien.

Neben Gehaltsabrechnungen fielen den Sicherheitsforschern Patentanmeldungen und geheime Baupläne für in der Entwicklung befindliche Produkte in die Hände. Außerdem entdeckten sie Quellcode und Auflistungen von Sicherheitslücken in Software; unter anderem aus dem Banking-Sektor. Interne Berichte und Fotos von Warenhäusern und Rechenzentren könnten von Angreifern missbraucht werden, die Diebstähle oder Hackerangriffe auf Firmen planen.

Unter anderem finden sich vertrauliche Patentanmeldungen auf Servern, auf die jeder aus dem Internet frei zugreifen kann. (Bild: Digital Shadows)

Viele der Dokumente sind im Netz gelandet, weil Administratoren die Einstellungen ihrer S3 Buckets verbockt haben. Das ist ein bekanntes Problem mit den Amazon Web Services, gegen das der Cloud-Anbieter aktiv vorgeht, indem er den Zugriff solcher Buckets standardmäßig einschränkt. Trotzdem kommt es immer wieder vor, dass Administratoren diese falsch konfigurieren und öffentlich zugänglich machen. Auch beliebt ist die Fehlkonfiguration von Webservern, sodass diese die Inhalte von Verzeichnissen öffentlich preisgeben und unbefugten Besuchern Path Traversal ermöglichen.

NAS-Geräte die, oft aufgrund von Einstellungsfehlern von Firewalls, öffentlich aus dem Netz erreichbar sind, sorgen ebenfalls dafür, dass Angreifer Zugang zu vertraulichen Dokumenten erlangen können. Oft sind diese in Backups enthalten, die auf den NAS-Geräten gespeichert werden. Bei Fileservern sorgen Firewall-Fehlkonfigurationen und Fehler bei der Bereitstellung von Protokollen wie SMB und FTP dafür, dass Nutzer aus dem öffentlichen Netz die Geräte finden und auf gespeicherte Daten ohne Anmeldung zugreifen können. (fab)