Buonanotte al secchio. Nel senso di bucket Amazon scrivibili da chiunque



[ZEUS News - www.zeusnews.it - 04-05-2018]

friendly warning

Avete presente quando si dice che la parola "cloud" andrebbe sostituita mentalmente con "il computer di qualcun altro"? Da oggi bisognerebbe forse usare un'altra frase: "il computer di qualcun altro, aperto a tutti e pure scrivibile da chiunque, sul quale qualcuno lascia messaggi per avvisarti del disastro imminente".

È quello che stanno scoprendo amaramente le tante aziende e organizzazioni governative che usano i servizi cloud di Amazon, i cosiddetti Amazon Web Services, per mettervi i propri dati. È un sistema potente e flessibile, ma bisogna saperlo usare.

A quanto pare molti responsabili informatici non hanno studiato come si usa, perché hanno impostato questi servizi, denominati in gergo bucket (secchio), in modo che possano essere letti da chiunque. E in alcuni casi anche scritti dal primo che passa.

Non è colpa di Amazon, ma dei suoi clienti incompetenti. Clienti con nomi come Uber, Dow Jones, FedEx e persino il Pentagono, che hanno lasciato bene in vista i propri dati in questo modo, come raccontano WeLiveSecurity e la BBC. Secondo i dati della società di sicurezza francese HTTPCS, 1 bucket su 50 non è protetto contro la scrittura. L'articolo continua qui sotto.

Sondaggio
Quali di questi dati ti spiacerebbe perdere di pių?
Dati finanziari e di pagamento
Documenti relativi al lavoro
Email personali
Email di lavoro
Messaggi personali (SMS, Whatsapp ecc.)
Foto dei miei bambini
Foto dei viaggi
Foto private o particolari o sensibili di me stesso
Foto private o particolari o sensibili del mio partner
Altre foto (non sensibili)
Note e documenti personali
Password
Rubrica degli indirizzi o dei contatti telefonici
Scansioni di passaporti, patenti, assicurazioni e altri documenti personali

Mostra i risultati (1803 voti)
Leggi i commenti (37)
Mi è stato segnalato, per esempio, un noto canale satellitare europeo che ha la guida TV su Amazon Web Services scrivibile da chiunque. Far comparire qualcos'altro al posto delle immagini di Peppa Pig sarebbe un gioco da ragazzi.
peppa3

Gli hacker buoni hanno fatto il possibile, lasciando messaggi di avvertimento nei bucket vulnerabili, ma in molti casi sono rimasti inascoltati. Alcuni esperti di sicurezza hanno contattato le organizzazioni maldestre per avvisarle, ma non sempre sono stati capiti e in alcuni casi rischiano anche ritorsioni legali (che è come rischiare una denuncia perché hai guardato in casa di qualcuno attraverso la finestra, hai visto che c'era un incendio e hai avvisato il proprietario).

Altri hanno preferito creare siti Web come Buckhacker (attualmente offline), che è una sorta di Google per i bucket aperti, in modo da portare il problema all'attenzione dei media.

Il guaio di queste vulnerabilità è che i dati messi a disposizione di chiunque sono spesso i nostri e sono un bersaglio ghiotto e facile per qualunque criminale. Immaginate qualcuno che cancella tutti i dati di un'azienda o di un'agenzia governativa, oppure li blocca con una password che verrà fornita solo in cambio di un riscatto.

Se la vostra organizzazione usa gli Amazon Web Services, date un'occhiata alle impostazioni. Amazon ha allestito uno strumento apposito che facilita questo controllo.

Fonte aggiuntiva: Bitdefender.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (4)


Gladiator
Mai usato AWS neppure io ma, se cosė fosse, sarebbe decisamente una cosa grave e poco comprensibile dal momento che si vengono a determinare problemi di sicurezza decisamente importanti.
5-5-2018 15:16
zero
Magari mi sbaglio, ma se anche aziende importanti si sono ritrovate senza protezioni, forse qualche responsabilita' ce l'ha pure AWS. Nel senso che, probabilmente, i servizi vengono attivati di default in modalita' "tutti possono scrivere" e i diritti sono poco comprensibili. Si tratta solo di supposizioni. Mai usato AWS
4-5-2018 17:54
{rimbaudo}
Hai detto bene che il cloud è il computer di qualcun'altro, ma da quello che vedo e sento, questo non importa molto alla gente: tutti sono incollati ai vantaggi immediati e individuali, per riuscire a cogliere gli svantaggi sociali a medio e lungo termine. Per quanto riguarda i clienti incapaci, direi che forse, trattandosi... Leggi tutto
3-5-2018 16:33
utontello
To cloud or not to cloud? La seconda che hai detto.
3-5-2018 11:44
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Sei a cena fuori e decidi di pagare con la carta di credito/debito. Quale tra queste situazioni preferisci?
Il cameriere porta la carta di credito/debito alla cassa e poi, dopo il pagamento, torna con la carta e lo scontrino
Il cameriere porta il terminale al tavolo dove viene effettuata la transazione
Il cameriere copia le informazioni della carta di credito/debito ed effettua il pagamento successivamente cosė non c'č bisogno di aspettare

Mostra i risultati (2856 voti)
Agosto 2025
n. 3975 del 08-08-2025
OpenAI porta l'IA su laptop e smartphone con due nuovi modelli open source
n. 3974 del 06-08-2025
WhatsApp senza account: arrivano le Guest Chat per comunicare da "anonimi"
n. 3973 del 03-08-2025
La pittura al grafene che sostituisce i caloriferi e consuma il 40% in meno
Luglio 2025
n. 3972 del 31-07-2025
Allora, che cosa si può fare?
n. 3971 del 29-07-2025
Piantedosi propone nuova Autorità per WhatsApp, Telegram e Signal. Messaggistica sotto controllo
n. 3970 del 28-07-2025
Windows XP gira emulato nel browser. Un tuffo nella nostalgia dei primi anni 2000
n. 3969 del 24-07-2025
PosteMobile da Vodafone a TIM: cambio rete nel 2026. 5 milioni di utenti coinvolti
n. 3968 del 23-07-2025
Fratelli d'Italia, stretta sul ''pezzotto'': sanzioni per gli utenti fino a 16.000 euro
n. 3967 del 21-07-2025
Scoprire gli amanti al concerto e licenziarli? In Italia non sarebbe mai potuto succedere
n. 3966 del 19-07-2025
Svelate le specifiche dell'iPhone pieghevole: chip A20, fotocamera da 48 MP e prezzo davvero premium
n. 3965 del 17-07-2025
Compensi per copia privata, la SIAE alza le tariffe. E vuole tassare anche il cloud
n. 3964 del 15-07-2025
ChatGPT in imbarazzo: con un semplice trucco genera chiavi attivazione Windows
n. 3963 del 12-07-2025
La IA di Google "fa calare il traffico" ai siti web: parte la denuncia alla Commissione Europea
n. 3962 del 10-07-2025
Il frigorifero di Samsung che fa a meno del gas: sfrutta l'effetto Peltier
n. 3961 del 09-07-2025
Il pericolo delle eSIM
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 8 agosto
2025
L'interfaccia di Windows diventa open source: Microsoft metterà il codi...
2024
L'ultima versione di WordStar si può scaricare liberamente
2023
Da Z-Library un'estensione per aggirare i blocchi
2022
Come perdere 200 milioni di dollari in criptovalute
2020
Android guadagna la condivisione semplice e wireless dei file
2019
Google smetterà di origliare le registrazioni di Assistant. Ma solo per tre...
2018
Thunderbird 60, nuova interfaccia e una marea di novità
2017
Password, abbiamo sbagliato tutto: usare numeri, maiuscole e caratteri speciali ...
2016
Privacy, sicurezza e bari
2015
Arriva LibreOffice 5.0, più efficiente e leggero
2014
Napoli lascia il Pinguino e ritorna con Microsoft
2013
Cifratura HTTPS compromessa in 30 secondi
2012
Un milione e mezzo di torrent su Internet Archive
2011
Juno porta i LEGO su Giove
2010
Anybots QB, il robot che va in ufficio al posto nostro
2008
Nuove regole per periti e consulenti dei magistrati
2004
Monti, Buttiglione e Bill Gates
2002
Umts e antenne
Olimpo Informatico


 
web metrics