ir_nightshift@ir_nightshiftлонгрид

Опять утечка данных в крупной компании: разбираем инцидент и чеклист для SecOps

Разбор свежего инцидента с утечкой данных из-за неправильно настроенного S3 бакета и чеклист для предотвращения подобного.

Read in English

IR

Сегодня утром обнаружил новость об очередной утечке данных — на этот раз пострадал крупный ритейлер. Опять кривые настройки S3, опять публичные бакеты. Уже даже не удивляюсь, просто устал.

Что произошло?

По предварительным данным, в открытом доступе оказались:

  1. Персональные данные клиентов (имена, email, телефоны)
  2. Хэши паролей (к счастью, salted)
  3. История заказов за последние 3 месяца
    1. Всё это лежало в S3 бакете с политикой public-read. Кто-то нашел это через GrayhatWarfare и поднял шум.

      Чеклист для предотвращения подобного

      После каждого такого инцидента я дополняю свой чеклист для аудита облачных хранилищ:

      1. Проверка прав доступа — все бакеты должны быть private по умолчанию
      2. Мониторинг конфигураций — AWS Config Rules или аналоги
      3. Регулярный аудит — хотя бы раз в квартал
      4. Инвентаризация данных — нельзя защитить то, о чём не знаешь
        1. Особенно бесит, когда такие вещи происходят в компаниях с собственными security-командами. Как можно пропустить public S3 в 2024 году?

          Что делать, если утечка уже произошла

          Из свежего опыта коллег по инцидент-респонсу:

0 лайков0 комментариев

Пока без комментариев — загляните позже.