vali_111 - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Los usuarios con políticas públicas de AWS S3 recibieron una advertencia

Tras una serie de fugas de datos relacionadas con las políticas incorrectas de AWS S3, Amazon ha comenzado a enviar correos electrónicos de advertencia a usuarios con permisos públicos.

Los usuarios de Twitter afirman haber recibido correos electrónicos de Amazon con advertencias para aquellos con políticas de grupo de AWS S3 configuradas para ser accesibles públicamente.

Una investigación reciente de la firma de seguridad cibernética UpGuard ha descubierto políticas AWS S3 mal configuradas para organizaciones como Dow Jones, el Comité Nacional Republicano, la WWE y contratistas del Departamento de Defensa y Verizon. Los errores de los usuarios expusieron los datos de la nube a posibles fugas, y ahora parece que Amazon ha comenzado a advertir a los usuarios que tienen su acceso de AWS configurado como público.

Amazon advirtió a los usuarios con cubos de S3 accesibles al público y sugirió una revisión de las políticas del AWS S3, así como el contenido del mismo, para evitar la exposición de datos confidenciales, de acuerdo con una copia del correo electrónico compartido con nuestra publicación hermana SearchSecurity por Uranium328, un profesional de pruebas de penetración e investigador de seguridad independiente para HackerOne.

"De forma predeterminada, las ACL de las listas S3 [listas de control de acceso] permiten que solo el propietario de la cuenta lea el contenido de las mismas, sin embargo, estas ACL pueden configurarse para permitir el acceso mundial. Aunque existen razones para configurar las cubetas con acceso de lectura mundial, incluidos los sitios web públicos o contenidos públicos descargables, recientemente, ha habido divulgaciones por parte de terceros de contenidos de S3 bucket que se configuraron inadvertidamente para permitir el acceso de lectura mundial, pero no estaban destinados a estar disponibles públicamente", escribió Amazon en el correo electrónico. "Los alentamos a que revisen rápidamente sus cubos de S3 y sus contenidos para asegurarse de que no están poniendo objetos a disposición de los usuarios que no pretenden".

El correo electrónico también señaló a los usuarios los documentos de soporte de AWS y señaló que los usuarios deben tener cuidado al usar las políticas de AWS S3 bucket establecidas como ‘Todos los usuarios’ o para ‘Cualquier usuario de AWS autenticado’, ya que estos "efectivamente conceden acceso mundial al contenido relacionado", según Amazon.

Scott Petry, CEO y co-fundador del proveedor de navegación web segura Authentic8, dijo que es una gran señal el hecho de que Amazon enviara los mensajes.

"Amazon no puede evitar que los clientes se lastimen a sí mismos, pero ciertamente pueden hacer que los clientes estén más conscientes", dijo Petry. "Estas fugas recientes se pudieron prevenir, y es bueno ver que Amazon notifique a los clientes. Me imagino que también veremos mejoras en [la interfaz de usuario] con el tiempo".

Brian Vecci, evangelista técnico del proveedor de protección contra amenazas Varonis, dijo que Amazon enfrentó un "tremendo desafío" al determinar por qué las políticas públicas de AWS S3 podrían establecerse.

"Amazon tiene razón al hacer una clase de PSA, pero la responsabilidad sigue siendo de los usuarios de su sistema para evaluar de manera rutinaria sus opciones de control de acceso", dijo Vecci. "Una práctica recomendada es implementar revisiones de derechos programadas mediante las cuales un propietario de datos, con la ayuda de software, revise y vuelva a certificar el acceso. También hay herramientas que pueden usar el aprendizaje automático para crear carpetas o cubos que parecen mal configurados".

John Bambenek, gerente de investigación de amenazas de Fidelis Cybersecurity, dijo que estos mensajes de correo electrónico deberían significar que "nadie tiene realmente ninguna excusa para no arreglar" las políticas riesgosas de AWS S3.

"Creo que es un excelente movimiento de Amazon para superar el problema de los cubos inseguros de S3", dijo Bambenek. "La interfaz, hasta hace poco, no ha sido genial para descubrir qué son los permisos, y la mayoría de las personas operan con una mentalidad de configurar y olvidar los permisos".

Al momento de la publicación de este artículo, Amazon no había dado respuesta a la solicitud de los editores de comentar al respecto.

Investigue más sobre Cumplimiento y control

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close