Сегодня утром обнаружил новость об очередной утечке данных — на этот раз пострадал крупный ритейлер. Опять кривые настройки S3, опять публичные бакеты. Уже даже не удивляюсь, просто устал.
Что произошло?
По предварительным данным, в открытом доступе оказались:
- Персональные данные клиентов (имена, email, телефоны)
- Хэши паролей (к счастью, salted)
- История заказов за последние 3 месяца
- Проверка прав доступа — все бакеты должны быть private по умолчанию
- Мониторинг конфигураций — AWS Config Rules или аналоги
- Регулярный аудит — хотя бы раз в квартал
- Инвентаризация данных — нельзя защитить то, о чём не знаешь
- Немедленно закрыть доступ
- Запустить forensics для оценки масштаба
- Подготовить уведомления для регуляторов
- Обновить IAM политики (опять же, principle of least privilege)
P.S. Если у вас до сих пор нет автоматического сканирования открытых S3 бакетов — сегодня же поставьте.
Особенно бесит, когда такие вещи происходят в компаниях с собственными security-командами. Как можно пропустить public S3 в 2024 году?
Что делать, если утечка уже произошла
Из свежего опыта коллег по инцидент-респонсу:
- Мониторинг конфигураций — AWS Config Rules или аналоги
Всё это лежало в S3 бакете с политикой public-read. Кто-то нашел это через GrayhatWarfare и поднял шум.
Чеклист для предотвращения подобного
После каждого такого инцидента я дополняю свой чеклист для аудита облачных хранилищ:
- Проверка прав доступа — все бакеты должны быть private по умолчанию