G
Gelöschtes Mitglied 78250
Gast
Ganz sicher hat jeder hier vom letzte Hack auf eine USA:Bank gelesen mit >100M erbeuteten Kundendaten.
https://www.heise.de/newsticker/mel...ck-mit-100-Millionen-Betroffenen-4483011.html
Was ich jedoch komisch finde ist dieses Zitat:
https://devops.com/top-5-aws-security-mistakes-leaky-s3-buckets/
Und wenn nicht direkt, dann eben die Backups in bestimmter Form:
https://techcrunch.com/2019/08/09/aws-ebs-cloud-backups-leak/
Auch wenn Capital One aussagt, dass der Fehler ausschliesslich in ihrer Konfiguration zu suchen war, mutet es immer noch komisch an, wenn AWS auf die Suche nach Datenlecks geht:
https://duo.com/decipher/aws-promises-to-scan-for-misconfigured-servers
Genau das ist aber passiert - wenn man dann noch bedenkt, dass die Hackerin bei AWS gearbeitet hat und für S3 zuständig war!?
https://www.heise.de/newsticker/mel...ck-mit-100-Millionen-Betroffenen-4483011.html
Was ich jedoch komisch finde ist dieses Zitat:
Weil nachgewiesen ist, dass die S3-Dienste auf Amazon Web Services (AWS) als unsicher erachtet wurden:Die Angeklagte war vor einigen Jahren bei Amazon beschäftigt und hat laut ihrem Lebenslauf damals am Load Balancing für S3 gearbeitet. Amazon verweist darauf, dass die Fehlkonfiguration nicht in der Cloud-Infrastruktur Amazons, sondern in der dort von der Bank installierten Software passiert ist.
https://devops.com/top-5-aws-security-mistakes-leaky-s3-buckets/
Und wenn nicht direkt, dann eben die Backups in bestimmter Form:
https://techcrunch.com/2019/08/09/aws-ebs-cloud-backups-leak/
Auch wenn Capital One aussagt, dass der Fehler ausschliesslich in ihrer Konfiguration zu suchen war, mutet es immer noch komisch an, wenn AWS auf die Suche nach Datenlecks geht:
https://duo.com/decipher/aws-promises-to-scan-for-misconfigured-servers
“Even if a customer misconfigures a resource, if the customer properly implements a ‘least privilege’ policy, there is relatively little an actor has access to once they are authenticated,” Schmidt said.
* AWS CISO Stephen Schmidt / Stephen Schmidt - Chief Information Security Officer, AWS"Selbst wenn ein Kunde eine Ressource falsch konfiguriert, wenn der Kunde eine Richtlinie mit den geringsten Rechten ordnungsgemäß implementiert, hat ein Akteur nach der Authentifizierung relativ wenig Zugriff darauf", sagte Schmidt*.
Genau das ist aber passiert - wenn man dann noch bedenkt, dass die Hackerin bei AWS gearbeitet hat und für S3 zuständig war!?