Η υπηρεσία του cloud computing Infrastucture–as–a-Service (IaaS) μπορεί να παρέχει μια ελκυστική επιλογή για τις επιχειρήσεις αλλά ένα λαθάκι ασφαλείας μπορεί να τους κοστίσει πολύ ακριβά.
Αυτό διαπιστώθηκε μετά από μια πρόσφατη έρευνα της Symantec, η οποία εντόπισε ότι ρυθμισμένα λάθος δικαιώματα πρόσβασης, επιτρέπουν την ανοιχτή πρόσβαση σε θυσαυρό πληροφοριών που βρίσκονται αποθηκευμένες στο cloud.
Σύμφωνα με την Symantec, οι ερευνητές ήταν σε θέση να εντοπίσουν περισσότερες από 16.000 περιοχές του cloud από την απαρίθμηση των προθεμάτων domain με λέξεις από το λεξικό. Από τα domains που ανακάλυψαν το 0,3% έχει δομές φακέλου που είναι εύκολο να τις μαντέψει κανείς και επακόλουθα θα μπορούσε να διαβαστεί από οποιονδήποτε. Αυτό οδηγεί σε πάνω από 11.000 δημόσιως προσβάσιμα αρχεία που περιέχουν οτιδήποτε, από προσωπικά στοιχεία του χρήστη έως και λογαριασμούς πιστωτικών καρτών!
Σαν μέρος του πειράματος η Symantec χρησιμοποίησε επτά κοινότυπες λέξεις: backup, backups, archive, logs, database, databases και Vhds.
«Δεν ήταν όλα τα προσβάσιμα δεδομένα ευαίσθητα, όμως κάποια σίγουρα ήταν» σύμφωνα μ’ένα whitepaper της Symantec με τίτλο “Mistakes in the IaaS could put your data at risk”. «Για παράδειγμα, κατά την διάρκεια της έρευνας μας, βρήκαμε έναν λογαριασμό που ανήκε σε μια εταιρεία επεξεργασίας πληρωμών. Οι προσβάσιμες δημοσίως λίστες πηγών, περιλαμβάνουν πολλά “bacpac” αρχεία, τα οποία είναι αντίγραφα ασφαλείας αρχείων της database. Τέτοια αρχεία, είναι χρυσωρυχεία για τους επιτιθέμενους, καθώς μπορεί να περιέχουν αμέτρητες ευαίσθητες πληροφορίες. Στην προκειμένη περίπτωση περιείχε ονόματα χρηστών, κωδικούς πρόσβασης, αρχεία καταγραφής συναλλαγών με πιστωτικές κάρτες με τα τέσσερα τελευταία ψηφία κάθε κάρτας, διευθύνσεις e-mail, καθώς και άλλες λεπτομέρειες λογαριασμών.»
Αυτό που θέλει να τονίσει η έκθεση της Symantec είναι το κρίσιμο μήνυμα- πως η ευθύνη για την εφαρμογή των Infrastructure-as-a-Service security controls, βαραίνει κατά κύριο λόγο τον χρήστη του cloud.
