Comparitech şirketinin araştırma ekibi, mevduatların %6’sının veya kovalar Google Cloud, herkesin içeriğine erişebilmesi için erişim denetimi etkinleştirilmediği için kötü yapılandırılmıştır.
Bu çalışma, 131’inin diğer kullanıcılar tarafından yetkisiz erişime açık olduğunu belirledikleri toplam 2.064 Google Cloud deposunu analiz etti. Firmanın ortaya çıkardığı veriler arasında pasaportlar, doğum sertifikaları ve Hindistan’daki çocukların kişisel profilleri de dahil olmak üzere 6.000 taranmış belge var. Ayrıca, sohbet günlüklerini ve e-posta sunucusu kimlik bilgilerini içeren bir Rus web geliştiricisine ait bir veritabanı.
«Bu paketler, diğer şeylerin yanı sıra hassas dosyalar, veritabanları, kaynak kodu ve kimlik bilgileri içerebilir. Saldırganlar, verileri çalmak, web sitelerini tehlikeye atmak ve başka saldırılar başlatmak için bu güvenlik açıklarından yararlanabilir.» Karşılaştırma teknolojisi araştırmacısı Paul Bischoff, firmanın blogunda yer alan bir yayında uyardı.
Açıkta kalan Google paketleri nasıl keşfedildi?
Paul Bischoff, Google depolarının aramalarını kolaylaştıran isimlendirme yönergelerini takip ettiğini açıkladı. Örneğin, Google Cloud veritabanı adları üç ile 63 karakter arasında olmalıdır; yalnızca küçük harfler, sayılar, kısa çizgiler, alt çizgiler ve noktalar içerir, boşluk içermez; ve isimler bir sayı veya harfle başlamalı ve bitmelidir.
«Araştırmacılarımız, yöneticilere ve bilgisayar korsanlarına benzer şekilde kullanılabilen özel bir araç kullanarak web’i taramayı başardılar. Alexa Top 100 web sitelerinin alan adlarını, ‘bak’, ‘db’ gibi grupları adlandırırken kullanılan yaygın kelimelerle birlikte aradılar. ‘veritabanı’ ve ‘kullanıcılar’. Arama girişi ve adlandırma yönergelerine göre filtreleme yaparak, yaklaşık 2,5 saat içinde 2.000’den fazla veri havuzu bulabildiler. Araştırmacılarımız, analizlerini muhtemelen daha da fazla alanı kapsayacak şekilde geliştirebileceklerini kaydetti», Bischoff açıklıyor.
Paket listesi elde edildikten sonra, araştırmacılar hangilerinin savunmasız veya yanlış yapılandırılmış olduğunu görmek için tek tek gözden geçirdi. Yaklaşık %6’sı kimlik doğrulama olmadan erişime izin verdi.
«Araştırmacılarımız analizi burada durdurdu, ancak elbette bir saldırgan çok daha ileri gidebilir. Örneğin, bir saldırgan, mevduatları yönetmek için resmi bir Google aracı olan ‘gsutils’ komut satırı aracını kullanarak depodaki tüm dosyaları indirebilir» , uyarır.
Google paketlerine yetkisiz erişim nasıl engellenir?
Paul Bischoff, yazısının bir bölümünü, Google veri havuzlarına yetkisiz erişimin nasıl önlenebileceğini açıklamaya da ayırdı. İlk şey, web’i taramaktır, bunun için komut satırından Cloud Storage’a erişmenizi sağlayan bir Python uygulaması olan gsutil’i veya Google ve Amazon altyapısında şirket adınızı aramak için BucketMiner’ı kullanmanızı önerir. Bu uygulamalar bir dizi istatistik, resim ve dosya adı üretecek ve paketinizin halka açık olup olmadığını size söyleyecektir.
Benzer şekilde Bischoff, Google’ın Google Cloud paketlerini korumak için attığı beş adımı bir araya getirdi:
- Depo düzeyinde ve kuruluş politikanızda tek tip erişimi etkinleştirin.
- Alanla sınırlı paylaşımı etkinleştirin.
- Cloud Storage verilerini Cloud KMS ile şifreleyin.
- CloudAudit Logging ile Bulut Depolama verilerini denetleyin.
- VPC Hizmet Kontrolleri ile verileri koruyun.
Google Cloud, VPC Hizmet Kontrolleri, Bulut Kimlik ve Erişim Yönetimi, ACL’ler, Bulut DLP, Bulut Güvenliği Komuta Merkezi dahil olmak üzere müşterilerin GCP’deki verilerini korumalarına ve güvence altına almalarına yardımcı olacak araçlar ve çözümler sunar.
