Yeni bir açık kaynaklı 'S3crets tarayıcı' tarayıcı, araştırmacıların ve kırmızı takımcıların yanlışlıkla halka açık olarak veya şirketin Amazon AWS S3 depolama kovalarında depolanan 'Sırlar' aramasına olanak tanır.
Amazon S3 (Basit Depolama Hizmeti), şirketler tarafından kovalar olarak bilinen kaplarda yazılım, hizmet ve verileri depolamak için yaygın olarak kullanılan bir bulut depolama hizmetidir.
Ne yazık ki, şirketler bazen S3 kovalarını düzgün bir şekilde güvence altına alamaz ve böylece depolanan verileri internete açıklar.
Bu tür yanlış yapılandırma, geçmişte veri ihlallerine neden olmuştur, tehdit aktörleri çalışanlara veya müşteri detaylarına, yedeklemelere ve diğer veri türlerine erişim kazanmıştır.
Uygulama verilerine ek olarak, S3 kovalarındaki kaynak kodu veya yapılandırma dosyaları, kimlik doğrulama anahtarları, erişim belirteçleri ve API tuşları olan 'sırlar' içerebilir.
Bu sırlar tehdit aktörleri tarafından uygunsuz bir şekilde maruz kalır ve erişilirse, diğer hizmetlere ve hatta şirketin kurumsal ağına çok daha fazla erişim sağlayabilirler.
SEGA'nın son varlıklara maruz kalmasını inceleyen bir alıştırma sırasında, güvenlik araştırmacısı Eilon Harel, kazara veri sızıntılarını taramak için hiçbir araç olmadığını keşfetti, bu yüzden kendi otomatik tarayıcını oluşturmaya ve GitHub'da açık kaynaklı bir araç olarak serbest bırakmaya karar verdi.
Halka açık S3 kovalarında açıkta kalan sırların zamanında keşfedilmesine yardımcı olmak için Harel, aşağıdaki eylemleri otomatik olarak gerçekleştiren "S3crets Tarayıcı" adlı bir Python aracı oluşturdu:
Tarayıcı aracı, yalnızca aşağıdaki yapılandırmalara sahip olan S3 kovalarını 'yanlış' olarak listeleyecektir, yani pozlamanın kazara olması muhtemeldir:
Herkese açık olması amaçlanan tüm kovalar, "Sırlar Tarama" adımı için metinsel dosyalar indirilmeden önce listeden filtrelenir.
Bir kovayı tararken, komut dosyası, GitHub, GitLab, Dosya sistemleri ve S3 kovalarında kimlik bilgilerini ve özel anahtarları kontrol edebilen Sırlar Tarayıcının geliştirilmiş bir GO tabanlı sürümü olan Trufflehog3 aracını kullanarak metin dosyalarının içeriğini inceleyecektir.
TruffleHog3, S3Crets tarafından indirilen dosyaları Harel tarafından tasarlanan ve kişisel olarak tanımlanabilir bilgileri (PII) pozlama ve dahili erişim belirteçlerini hedefleyen bir dizi özel kural kullanarak tarar.
Bir kuruluşun varlıklarını taramak için periyodik olarak kullanıldığında, araştırmacı "S3CRETS tarayıcısının" firmaların sırların maruz kalmasından kaynaklanan veri sızıntıları veya ağ ihlalleri şansını en aza indirmesine yardımcı olabileceğine inanmaktadır.
Son olarak, araç halka açık kovaları taramak ve kötü aktörler onları bulmadan önce maruz kalan sırların sahiplerini bildirmek gibi beyaz şapka eylemleri için de kullanılabilir.
Chegg, 3 yıl içinde dört veri ihlali yaşadıktan sonra FTC tarafından dava edildi
Avustralya klinik laboratuvarları, fidye yazılımı saldırısında hasta verilerinin çalındığını söylüyor
Twilio, Haziran'dan itibaren başka bir hack'i açıklıyor, ses kimlik avını suçluyor
Medibank artık bilgisayar korsanlarının tüm müşterilerinin kişisel verilerine eriştiğini söylüyor
Bkz. Biletler 2,5 yıllık kredi kartı hırsızlığı ihlali açıklar
Kaynak: Bleeping Computer