El 6% de los depósitos de Google Cloud son vulnerables a accesos no autorizados
- Cloud
Esos depósitos pueden contener archivos confidenciales, bases de datos, código fuente y credenciales, entre otras cosas. El problema de la mala configuración se extiende a otras plataformas, como los depósitos S3 de Amazon, que también suelen estar expuestos.
Recomendados: La persistencia del ransomware Webinar Cloud Data Management para Nutanix Enterprise Cloud Leer |
Un porcentaje demasiado grande de bases de datos en la nube que contienen información altamente confidencial está disponible públicamente, según muestra un análisis. En el análisis realizado por Comparitech a 2.064 depósitos de Google Cloud, se descubrió que 131 de ellos, es decir, el 6%, estaban mal configurados y eran vulnerables al acceso no autorizado de usuarios que podían enumerar, descargar y/o cargar archivos.
"Esos depósitos pueden contener archivos confidenciales, bases de datos, código fuente y credenciales, entre otras cosas", escribió el investigador de la firma Paul Bischoff. Entre los datos expuestos que la firma descubrió se encontraban 6.000 documentos escaneados que incluían pasaportes, certificados de nacimiento y perfiles personales de niños de La India. Otra base de datos perteneciente a un desarrollador web ruso incluía las credenciales del servidor de correo electrónico y los registros de chat del desarrollador.
Dw acuerdo con el investigador, descubrir bases de datos en la nube expuestas es un asunto trivial. En el caso de Google, existen pautas de nomenclatura que facilitan su búsqueda. Por ejemplo, los nombres de las bases de datos de Google Cloud deben tener entre tres y 63 caracteres, y contener solo letras minúsculas, números, guiones, guiones bajos y puntos, sin espacios; y los nombres deben comenzar y terminar con un número o letra.
“Nuestros investigadores pudieron escanear la web utilizando una herramienta especial disponible tanto para administradores como para hackers malintencionados. Buscaron nombres de dominio de los 100 sitios web principales de Alexa en combinación con palabras comunes que se usan al nombrar grupos como 'bak', 'db', 'base de datos' y 'usuarios'”, explica Bischoff. “Al filtrar en función de la entrada de búsqueda y las pautas de nomenclatura, pudieron encontrar más de 2.000 depósitos en aproximadamente 2,5 horas. Nuestros investigadores señalaron que probablemente podrían mejorar su análisis para cubrir aún más dominios".
Con la lista de depósitos, los investigadores revisaron posteriormente si cada uno era vulnerable o estaba mal configurado. “Aquí es donde se detuvo el análisis de nuestros investigadores, pero, por supuesto, un atacante podría ir mucho más lejos. Por ejemplo, un atacante podría descargar todos los archivos del depósito mediante la herramienta de línea de comandos ‘gsutils’, una herramienta oficial de Google para administrar depósitos", advierte Bischoff.
Si bien el análisis cubrió solo los depósitos de Google Cloud, el problema de la configuración incorrecta se extiende a otras plataformas. Los depósitos S3 de Amazon, por ejemplo, son el medio más popular para que las aplicaciones, los sitios web y los servicios online almacenen datos en la nube, y también suelen estar expuestos.