Anzeige

Am Puls von Microsoft

Anzeige

Capital One ein Opfer von Amazon?

G

Gelöschtes Mitglied 78250

Gast
Ganz sicher hat jeder hier vom letzte Hack auf eine USA:Bank gelesen mit >100M erbeuteten Kundendaten.
https://www.heise.de/newsticker/mel...ck-mit-100-Millionen-Betroffenen-4483011.html

Was ich jedoch komisch finde ist dieses Zitat:
Die Angeklagte war vor einigen Jahren bei Amazon beschäftigt und hat laut ihrem Lebenslauf damals am Load Balancing für S3 gearbeitet. Amazon verweist darauf, dass die Fehlkonfiguration nicht in der Cloud-Infrastruktur Amazons, sondern in der dort von der Bank installierten Software passiert ist.
Weil nachgewiesen ist, dass die S3-Dienste auf Amazon Web Services (AWS) als unsicher erachtet wurden:
https://devops.com/top-5-aws-security-mistakes-leaky-s3-buckets/

Und wenn nicht direkt, dann eben die Backups in bestimmter Form:
https://techcrunch.com/2019/08/09/aws-ebs-cloud-backups-leak/

Auch wenn Capital One aussagt, dass der Fehler ausschliesslich in ihrer Konfiguration zu suchen war, mutet es immer noch komisch an, wenn AWS auf die Suche nach Datenlecks geht:
https://duo.com/decipher/aws-promises-to-scan-for-misconfigured-servers
“Even if a customer misconfigures a resource, if the customer properly implements a ‘least privilege’ policy, there is relatively little an actor has access to once they are authenticated,” Schmidt said.
"Selbst wenn ein Kunde eine Ressource falsch konfiguriert, wenn der Kunde eine Richtlinie mit den geringsten Rechten ordnungsgemäß implementiert, hat ein Akteur nach der Authentifizierung relativ wenig Zugriff darauf", sagte Schmidt*.
* AWS CISO Stephen Schmidt / Stephen Schmidt - Chief Information Security Officer, AWS

Genau das ist aber passiert - wenn man dann noch bedenkt, dass die Hackerin bei AWS gearbeitet hat und für S3 zuständig war!?
 
Anzeige
Pro Datensatz $ 1.- kassieren und danach den Film sehen "Verschollen im Bermuda Dreieck". Passt! :smokin
 
Anzeige
Oben