13.12.2018 | 22:41

Anna Wasilewska-Śpioch

Dane uczestników młodzieżowych obozów sportowych były dostępne w sieci

Kilka miesięcy temu pokazaliśmy naszym Czytelnikom wyszukiwarkę otwartych kubełków w chmurze Amazona. Niektórzy korzystają z niej do dziś, nadal bowiem otrzymujemy zgłoszenia dotyczące polskich firm, które źle zabezpieczyły zgromadzone dane.

Kubełki (po angielsku buckets), jak można się domyślić, służą do przechowywania rozmaitych plików i są udostępniane przez Amazona w ramach Simple Storage Services, w skrócie S3. Zyskują na popularności m.in. dzięki prostej obsłudze, co w przypadku wielu firm (gwoli ścisłości nie tylko polskich) skutkuje niewnikaniem w szczegóły konfiguracyjne. W efekcie aż 21% kubełków umożliwia publiczny dostęp do swojej zawartości, co zazwyczaj pożądane nie jest. Na naszych łamach opisywaliśmy wpadki takich firm jak eRzeczoznawcy czy InJobs, dziś z kolei skupimy się na przypadku AveTravel.

Ponad 4 tys. dokumentów zawierających dane osobowe

Informację o niezabezpieczonym kubełku należącym do AveTravel otrzymaliśmy od jednego z naszych Czytelników, który przetrząsał zgromadzone w chmurze dane przy użyciu wyszukiwarki buckets.grayhatwarfare.com. Wspomniana firma zajmuje się organizacją wakacyjnych obozów młodzieżowych dla pasjonatów jazdy na rowerze oraz hulajnodze. Kubełek, który wzbudził zainteresowanie naszego Czytelnika, liczył 4227 pozycji, zdecydowaną większość stanowiły pliki PDF.

Były to przede wszystkim karty kwalifikacyjne z danymi uczestników wspomnianych obozów, umowy o świadczenie usług turystycznych podpisane przez ich rodziców, ale też m.in. CV osób chcących nawiązać z firmą współpracę, zawarte z nimi umowy zlecenia, rachunki do tych umów, wnioski o przekazanie poborów, zaświadczenia lekarskie i inne dokumenty, które bez wątpienia nie powinny być publicznie dostępne.

Prawidłowa reakcja na incydent

Jak zwykle w podobnych przypadkach, nawiązaliśmy kontakt z firmą, której dotyczyło zgłoszenie. Następnego dnia zostaliśmy poinformowani, że „dostęp do plików został zablokowany dla osób trzecich (…) incydent został poddany analizie ryzyka”. Zapytaliśmy, czy firma zamierza zawiadomić o zaistniałej sytuacji UODO oraz osoby, których dane znajdowały się w nieopatrznie udostępnionych dokumentach. Otrzymaliśmy następującą odpowiedź:

Tak, planujemy zawiadomić UODO w wymaganym prawem terminie. Jesteśmy w trakcie zgłaszania informacji o zaistniałej sytuacji i domniemanym wycieku danych.

W dalszym ciągu prowadzimy dochodzenie, aby wyjaśnić, jak duża jest skala problemu. Po zakończonej analizie podejmiemy decyzję, w jaki sposób najlepiej poinformować o tym naszych klientów, a w szczególności tych, których problem mógł dotyczyć bezpośrednio.

Dodatkowo chciałbym zaznaczyć, że chwilę po otrzymaniu zgłoszenia status wszystkich plików został zmieniony na prywatny. Innymi słowy, niedostępny do wglądu dla osób trzecich. Zaraz po tym wysłaliśmy prośbę do portalu https://buckets.grayhatwarfare.com/ o permanentne usunięcie wszystkich odnośników dotyczących naszego bucketu. W konsekwencji wszystkie linki zostały usunięte.

Ponadto w momencie przygotowywania obecnej wersji aplikacji do dokonywania rezerwacji na obozy skanowanie/indeksowanie bucketów S3 nie było powszechną techniką. Aplikacja była przygotowana tak, aby móc korzystać z bucketów prywatnych, niestety zawiodła konfiguracja, która domyślnie była ustawiona na „public”.

Do czasu publikacji tego artykułu zainteresowane osoby powinny były otrzymać stosowne zawiadomienie. AveTravel potraktował sprawę poważnie i bardzo nas to cieszy.

Amazon śpieszy na ratunek

Częstymi wyciekami danych gromadzonych w firmowych kubełkach przejął się także Amazon, który – jak niedawno informował ZDNet – udostępnił dodatkowe narzędzie mające pomóc w zabezpieczeniu składowanych w chmurze plików.

W panelu zarządzania usługą S3, w zakładce „Public access settings for this account” pojawiły się cztery nowe opcje, które umożliwiają właścicielom danego konta określenie standardowych poziomów dostępu do kubełków. Są to ustawienia globalne – jeśli ustalimy, że żaden nasz zasób nie powinien być dostępny publicznie, to późniejsza błędna konfiguracja któregoś z kubełków nie spowoduje wycieku przechowywanych w nim danych. Wszystkich użytkowników usługi zachęcamy do skorzystania z nowych możliwości konfiguracyjnych.

Jeśli natomiast zdarzy się Wam natrafić na kolejny polski kubełek zawierający poufne dokumenty, to możecie nam to zgłosić – postaramy się problem szybko i sprawnie rozwiązać.

Powrót

Komentarze

  • 2018.12.14 07:27 HardwareBased

    funkcjonalnosc kontra bezpieczenstwo – rywalizacja trwa :) problem nie tylko w chmurach ale tu gol do kazdej bramki spektakularny :(

    Odpowiedz
  • 2018.12.18 11:31 Rosankiewicz Jacek

    Jaka firma takie security ;)
    Jak żyć ? Jak się zabezpieczyć?
    Czy może lepiej z internetów nie korzystać?
    Pozdrawiam, Rosankiewicz Jacek

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dane uczestników młodzieżowych obozów sportowych były dostępne w sieci

Komentarze