Als je de juiste URL maar wist, kon je alle gegevens van marketingbedrijf Alteryx te pakken krijgen. Net als in eerdere gevallen bleek dat omdat de beheerders de opslagdienst Amazon Web Services S3 verkeerd hadden geconfigureerd waardoor de data door iedereen te benaderen was. De gegevens van 123 miljoen mensen waren daarmee in te lezen.

Databrokers en zelfs NSA

Het ging om informatie die was gekocht van databroker en kredietwaardigheidsbedrijf Experian als onderdeel van een dataset die het bedrijf aanbiedt met de naam ConsumerView. Het bedrijf Alteryx gebruikte deze gegevens voor marketing en analysedoeleinden. De gegevens werden in een S3-bucket gedeponeerd en de deksel werd opengezet.

Vorige maand gebeurde hetzelfde met gegevens van een topgeheim Amerikaans inlichtingenprogramma. Een dienst van de NSA moest het Pentagon helpen met het realtime analyseren van wat er gebeurde met troepen in Afghanistan in 2013. Die gegevens van Amerikaanse systemen werden in AWS S3 opgeslagen en net als met Alteryx vervolgens eenvoudig benaderbaar.

Default afgesloten

Wat opvallend is dat default Amazon Web Services de toegang tot gegevens in S3 onbenaderbaar maakt voor toegang van derden. Er moest dus iemand aan te pas komen om deze gegevens bloot te stellen. S3 heeft de optie om data via het web beschikbaar te maken, als het zodanig wordt geconfigureerd, maar standaard is dat niet het geval.

Dit is dus geen issue van Amazon, maar een probleem dat wordt veroorzaakt door naïviteit, domheid of onwetendheid van de mensen die de S3-instances draaien. Publieke cloudaanbieders stellen meestal dat ze niet verantwoordelijk zijn voor ineffectieve (of ontbrekende) beveiligingsinstellingen waardoor data lekt. En hierom is dat dus.

Boerenverstand

In deze twee gevallen hadden we gelukkig te maken met white hat-hackers die de beheerders informeerden over het issue. Maar ik vermoed dat dit soort gevallen vaker optreedt en dan ook nog eens wordt opgemerkt door lieden die stilletjes de lekkende data opvangen en met de buit aan de haal gaan.

De oplossing is dus ook gewoon het gebruiken van je gezonde verstand: maak geen gegevens beschikbaar die niet toegankelijk moeten zijn. Het is zaak om kennis te nemen van beveiligingsconfiguraties en dataprocessen voor je de publieke cloud gebruikt in je IT-omgeving. Anders blijft dit soort vermijdbaar incident voorkomen.