Meldung

Sensible Zugriffsschlüssel öffentlich im Netz

Digital Shadows hat untersucht, in welchem Ausmaß firmeninterne Zugriffsschlüssel im Rahmen der Softwareentwicklung unbeabsichtigt auf Kollaborationsplattformen und Code-Hostern veröffentlicht werden. Über 30 Tage hinweg scannten die Analysten mehr als 150 Millionen Entitäten auf GitHub, GitLab und Pastebin. Das Ergebnis: fast 800.000 exponierte Zugriffsschlüssel.
Datenbanken sind am meisten durch ungeschützte Zugriffsschlüssel gefährdet.
Zugriffsschlüssel ermöglichen die Systemauthentifizierung gegenüber Dritt- oder internen Systemen und erlauben dem Anwender häufig erweiterte Berechtigungen. Daher stehen diese Zugangsdaten in der Regel unter besonderem Schutz und werden nur unter Auflagen mit Dritten geteilt (Shared Secrets).

Fehlende Sicherheitspraktiken und Nachlässigkeiten auf der Seite von Entwicklern, Anwendern und Auftragnehmern führen laut Digital Shadows [1] immer wieder dazu, dass mit der Kennzeichnung "öffentlich" selbst hochsensible Daten auf Repositories und Plattformen landen. Das versehentliche Teilen dieser Daten kann schwerwiegende Konsequenzen nach sich ziehen, wenn Angreifer sich unbefugt Zugang zu geschäftskritischen Systemen verschaffen.

Nach Digital Shadows lassen sich die gefundenen Zugriffsschlüssel in
folgende Kategorien einordnen:

Datenbanken

Mehr als 40 Prozent der Access Keys ermöglichen den Zugang zu unternehmenseigenen
Datenbanksystemen, darunter IBM DB2, Microsoft SQL Server, MongoDB, MySQL,
Oracle DB, PostgreSQL, RabbitMQ und Redis. Insgesamt entdeckten die
Analysten 129.550 Zugangsdaten, wobei Redis (37,2 Prozent), MySQL (23,8 Prozent) und
MongoDB (19,3 Prozent) am häufigsten betroffen sind.

Cloudanbieter

Rund 38 Prozent der Zugriffsschlüssel verweisen auf Unternehmenskonten bei
Cloudanbietern. Die meisten exponierten Anmeldedaten finden sich demnach
bei Google (56,5 Prozent), gefolgt von Microsoft Azure Storage (22,7 Prozent) und Azure
SAS (12,4 Prozent). Auf den Marktführer Amazon Web Services entfallen hingegen nur
8,3 Prozent der exponierten Zugriffsschlüssel.

Onlineservices
11 Prozent der Daten betreffen Onlinedienste, darunter Kollaborationsplattformen
wie Slack und Zahlungssysteme wie Stripe. Beunruhigend ist auch die große
Zahl an exponierten Google OAuth IDs (95 Prozent der genannten 11 Prozent). Sie lassen sich nutzen, um von Anwendern die Erlaubnis zu erhalten, Dateien im Filehosting-Dienst Google Drive zu speichern.
22.09.2020/jm

Tipps & Tools

HPE baut schnellsten Supercomputer [27.10.2020]

EuroHPC und das LUMI-Konsortium haben 144,5 Millionen Euro in den Bau eines der schnellsten HPE-Supercomputer investiert. Dieser wird laut Hersteller eine Spitzenleistung von mehr als 550 Petaflop/s erreichen – das entspricht etwa der Leistung von 1,5 Millionen Laptops. Das neue System soll Mitte 2021 in Finnland in Betrieb gehen. [mehr]

Vorschau November 2020: Server- und Storage-Virtualisierung [26.10.2020]

Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie es in Zukunft weitergehen könnte. Dabei beleuchten wir auch die Unterschiede zu Containern und befassen uns mit Software-defined Storage und hyperkonvergenten Systemen. In den Tests werfen wir unter anderem einen Blick auf das Private-Cloud-Angebot von IONOS. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen