Amazon S3 e i bucket non protetti: dati personali e informazioni sensibili alla mercé di chiunque

Amazon S3 è un servizio, destinato principalmente alle imprese, che permette di memorizzare grandi quantitativi di dati sul cloud. Il vantaggio di un servizio del genere è che può essere dimensionato sulla base delle specifiche esigenze dell’azienda scalando, quando necessario, verso l’alto o verso il basso e adeguando di conseguenza il canone di abbonamento versato: Differenza tra cloud pubblico, privato e ibrido. Cosa significa avere porte in ascolto.

Amazon S3 fornisce anche la funzionalità chiamata bucket: si tratta di contenitori online che possono ospitare qualunque tipo di file e che consentono di condividere facilmente il materiale tra gruppi di utenti più o meno ampi. I bucket Amazon sono a costo zero: si pagano il traffico generato e lo spazio occupato dai file.

Nei mesi scorsi un gruppo di ricercatori si sono accorti (vedere il post di Upguard) che un numero sorprendente di bucket Amazon è esposto sulla rete Internet senza utilizzare alcuna forma di protezione.

Il problema è diventato di recente ancora più grave quando è apparso online una sorta di “motore di ricerca” che facilita l’individuazione dei bucket Amazon lasciati aperti alla mercé dei ficcanaso.
All’interno dei bucket in questione è possibile trovare di tutto: documenti di identità, copie di contratti, documenti riservati, tessere sanitarie, cartelle cliniche, estratti bancari, database e così via.
Inutile dire che la pubblicazione di simili informazioni rende banale, per i criminali informatici, il porre in essere furti di identità e creare messaggi personalizzati per richiedere ad esempio il versamento di un riscatto. Citando documenti e dati riservati, infatti, truffe come quella di cui avevamo parlato nell’articolo Un’email truffaldina cerca di estorcere denaro rivelando le password degli utenti possono diventare molto più credibili.

Il problema, ancora una volta, risiede nella scorretta configurazione dei servizi cloud: in questo caso molti bucket di Amazon vengono ancor oggi lasciati non protetti con il risultato che chiunque conosca l’URL diretto (dominio di quarto livello di s3.amazonaws.com) può impossessarsi facilmente di dati personali e informazioni sensibili.