Buonanotte al secchio. Nel senso di bucket Amazon scrivibili da chiunque



[ZEUS News - www.zeusnews.it - 04-05-2018]

friendly warning

Avete presente quando si dice che la parola "cloud" andrebbe sostituita mentalmente con "il computer di qualcun altro"? Da oggi bisognerebbe forse usare un'altra frase: "il computer di qualcun altro, aperto a tutti e pure scrivibile da chiunque, sul quale qualcuno lascia messaggi per avvisarti del disastro imminente".

È quello che stanno scoprendo amaramente le tante aziende e organizzazioni governative che usano i servizi cloud di Amazon, i cosiddetti Amazon Web Services, per mettervi i propri dati. È un sistema potente e flessibile, ma bisogna saperlo usare.

A quanto pare molti responsabili informatici non hanno studiato come si usa, perché hanno impostato questi servizi, denominati in gergo bucket (secchio), in modo che possano essere letti da chiunque. E in alcuni casi anche scritti dal primo che passa.

Non è colpa di Amazon, ma dei suoi clienti incompetenti. Clienti con nomi come Uber, Dow Jones, FedEx e persino il Pentagono, che hanno lasciato bene in vista i propri dati in questo modo, come raccontano WeLiveSecurity e la BBC. Secondo i dati della società di sicurezza francese HTTPCS, 1 bucket su 50 non è protetto contro la scrittura. L'articolo continua qui sotto.

Sondaggio
Quali di questi dati ti spiacerebbe perdere di pių?
Dati finanziari e di pagamento
Documenti relativi al lavoro
Email personali
Email di lavoro
Messaggi personali (SMS, Whatsapp ecc.)
Foto dei miei bambini
Foto dei viaggi
Foto private o particolari o sensibili di me stesso
Foto private o particolari o sensibili del mio partner
Altre foto (non sensibili)
Note e documenti personali
Password
Rubrica degli indirizzi o dei contatti telefonici
Scansioni di passaporti, patenti, assicurazioni e altri documenti personali

Mostra i risultati (1808 voti)
Leggi i commenti (37)
Mi è stato segnalato, per esempio, un noto canale satellitare europeo che ha la guida TV su Amazon Web Services scrivibile da chiunque. Far comparire qualcos'altro al posto delle immagini di Peppa Pig sarebbe un gioco da ragazzi.
peppa3

Gli hacker buoni hanno fatto il possibile, lasciando messaggi di avvertimento nei bucket vulnerabili, ma in molti casi sono rimasti inascoltati. Alcuni esperti di sicurezza hanno contattato le organizzazioni maldestre per avvisarle, ma non sempre sono stati capiti e in alcuni casi rischiano anche ritorsioni legali (che è come rischiare una denuncia perché hai guardato in casa di qualcuno attraverso la finestra, hai visto che c'era un incendio e hai avvisato il proprietario).

Altri hanno preferito creare siti Web come Buckhacker (attualmente offline), che è una sorta di Google per i bucket aperti, in modo da portare il problema all'attenzione dei media.

Il guaio di queste vulnerabilità è che i dati messi a disposizione di chiunque sono spesso i nostri e sono un bersaglio ghiotto e facile per qualunque criminale. Immaginate qualcuno che cancella tutti i dati di un'azienda o di un'agenzia governativa, oppure li blocca con una password che verrà fornita solo in cambio di un riscatto.

Se la vostra organizzazione usa gli Amazon Web Services, date un'occhiata alle impostazioni. Amazon ha allestito uno strumento apposito che facilita questo controllo.

Fonte aggiuntiva: Bitdefender.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (4)

Mai usato AWS neppure io ma, se cosė fosse, sarebbe decisamente una cosa grave e poco comprensibile dal momento che si vengono a determinare problemi di sicurezza decisamente importanti.
5-5-2018 15:16

Magari mi sbaglio, ma se anche aziende importanti si sono ritrovate senza protezioni, forse qualche responsabilita' ce l'ha pure AWS. Nel senso che, probabilmente, i servizi vengono attivati di default in modalita' "tutti possono scrivere" e i diritti sono poco comprensibili. Si tratta solo di supposizioni. Mai usato AWS
4-5-2018 17:54

{rimbaudo}
Hai detto bene che il cloud è il computer di qualcun'altro, ma da quello che vedo e sento, questo non importa molto alla gente: tutti sono incollati ai vantaggi immediati e individuali, per riuscire a cogliere gli svantaggi sociali a medio e lungo termine. Per quanto riguarda i clienti incapaci, direi che forse, trattandosi... Leggi tutto
3-5-2018 16:33

To cloud or not to cloud? La seconda che hai detto.
3-5-2018 11:44

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come preferiresti controllare la Tv?
Con lo smartphone
Con il tablet
Con i gesti del corpo
Con la voce
Con il pensiero
Con il telecomando

Mostra i risultati (2296 voti)
Settembre 2025
ISEE, titoli di studio e certificati arrivano su IT Wallet. Il portafoglio digitale si espande
Microsoft contro ValueLicensing: fine delle licenze di Windows e Office a prezzi stracciati?
Il web aperto è ufficialmente in crisi: lo ammette pure Google. La colpa è anche della IA
Intelligenza artificiale per le automobili, licenziati 54 ricercatori a Torino
Dolcificanti a zero calorie e declino cognitivo: una ricerca brasiliana scopre un preoccupante legame
WinToUSB trasforma una chiavetta USB in un sistema Windows perfettamente funzionante
Meta accede a tutto il rullino fotografico senza permesso. Ma disattivare si può: ecco come
Agosto 2025
Google, stop all'obbligo di usare Gmail per gli account Android
Browser IA, l'allarme di Malwarebytes: ingannare gli assistenti e rubare dati è fin troppo semplice
Lo script che estende gli aggiornamenti di sicurezza di Windows 10 anche senza account Microsoft
La Danimarca saluta la posta cartacea: la consegna delle lettere terminerà alla fine dell'anno
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark web
Volkswagen, microtransazioni nelle auto: per utilizzare tutti i cavalli bisogna abbonarsi
Windows 11 24H2, dopo l'aggiornamento i dischi scompaiono. E i dati possono corrompersi
Microsoft fagocita GitHub: fine dell'indipendenza dopo sette anni. Futuro nella IA
Tutti gli Arretrati
Accadde oggi - 16 settembre


web metrics