Will Vandevanter, ricercatore di sicurezza impiegato presso Rapid 7 , ha identificato una magagna potenzialmente molto pericolosa nei “bucket” di Amazon S3: se non rinforzati con le opportune limitazioni d’accesso, i server cloud della società fondata da Jeff Bezos mettono in mostra ogni genere di dati o informazioni riservate.
Vandevanter ha usato strumenti di analisi “low-tech” per analizzare lo stato di 12.328 bucket S3 di Amazon, identificando tra questi 1.951 come aperti all’accesso pubblico. Da quest’ultima lista il ricercatore è stato in grado di generare un elenco di ben 126 miliardi di file, e anche solo a dare un’occhiata a un esemplare limitato (40mila) di quelli accessibili per il download pubblico c’è da essere di che preoccupati.
Fra le informazioni carpite dal ricercatore, infatti, spiccano i dati appartenenti a social network di medio livello, gli archivi di rivenditori di automobili, fogli di calcolo, backup di database non cifrati, codice sorgente di software videoludico appartenente a uno sviluppatore mobile e via elencando.
Il problema, almeno questa volta, non è ascrivibile ad Amazon bensì alla scarsa policy di sicurezza adottata dai suoi clienti. Nondimeno il rivenditore statunitense dimostra di voler prendere molto sul serio la ricerca di Vandevanter, avvisa gli utenti dei potenziali pericoli e provvede a fornire strumenti di protezione avanzati basati su moduli hardware accessori (per il servizio AWS).
Alfonso Maruccia