El equipo de investigación de la compañía Comparitech ha publicado un estudio que revela que el 6% de los depósitos o buckets de Google Cloud están mal configurados, ya que no tienen habilitado el control de acceso, de manera que cualquiera pueda acceder a sus contenidos.
Este estudio ha analizado un total de 2.064 depósitos deGoogle Cloud, de los cuales determinaron que 131 son vulnerables al acceso noautorizado por parte de otros usuarios. Entre los datos que la firma hadescubierto se encuentran 6.000 documentos escaneados que incluyen pasaportes,certificados de nacimiento y perfiles personales de niños en India. También unabase de datos perteneciente a un desarrollador web ruso, que contenía losregistros de su chat y las credenciales del servidor de correo electrónico.
"Estos buckets pueden contener archivos confidenciales, bases de datos, código fuente y credenciales, entre otras cosas. Los atacantes podrían aprovechar estas vulnerabilidades para robar datos, comprometer sitios web y lanzar más ataques", ha advertido el investigador de Comparitech Paul Bischoff en una publicación en el blog de la firma.
Cómo han descubierto los buckets de Google expuestos
Paul Bischoff ha explicado que los depósitos de Googlesiguen unas pautas de nomenclatura que facilitan su búsqueda. Por ejemplo, losnombres de las bases de datos de Google Cloud deben tener entre tres y 63caracteres; contener solo letras minúsculas, números, guiones, guiones bajos ypuntos, sin espacios; y los nombres deben comenzar y terminar con un número oletra.
"Nuestros investigadores pudieron escanear la web utilizando una herramienta especial disponible tanto para administradores como para piratas informáticos. Buscaron nombres de dominio de los 100 sitios web principales de Alexa en combinación con palabras comunes utilizadas al nombrar grupos como 'bak', 'db', 'base de datos' y 'usuarios'. Al filtrar en función de la entrada de búsqueda y las pautas de nomenclatura, pudieron encontrar más de 2.000 depósitos en aproximadamente 2,5 horas. Nuestros investigadores señalaron que probablemente podrían mejorar su análisis para cubrir aún más dominios", explica Bischoff.
Una vez conseguida la lista de buckets, los investigadoresrevisaron uno a uno para ver cuáles eran vulnerables o estaban malconfigurados. Alrededor del 6%, permitían el acceso sin autentificación.
"Aquí es dónde nuestros investigadores detuvieron el análisis pero, por supuesto, un atacante podría llegar mucho más lejos. Por ejemplo, un atacante podría descargar todos los archivos del depósito utilizando la herramienta de línea de comandos 'gsutils', una herramienta oficial de Google para administrar depósitos", advierte.
Cómo evitar el acceso no autorizado a los depósitos de Google
Paul Bischoff también ha dedicado una parte de su publicacióna explicar cómo se puede evitar el acceso no autorizado a los depósitos deGoogle. Lo primero es escanear la web, para lo cual recomienda usar gsutil, unaaplicación de Python que te permite acceder a Cloud Storage desde la línea decomandos, o BucketMiner, para buscar el nombre de su empresa en lainfraestructura de Google y Amazon. Estas aplicaciones producirán una serie deestadísticas, imágenes y nombres de archivo y le informaran de si su bucketestá abierto al público.
Asimismo, Bischoff ha recogido los cinco pasos que ha dado Googlepara proteger los buckets de Google Cloud:
- Activar el acceso uniforme a nivel de depósito ysu política de organización.
- Habilitar el uso compartido restringido aldominio.
- Cifrar loss datos de Cloud Storage con Cloud KMS.
- Auditar los datos de Cloud Storage con CloudAudit Logging.
- Proteger los datos con VPC Service Controls.
Google Cloud ofrece herramientas y soluciones para ayudar alos clientes a proteger y asegurar sus datos en GCP, que incluyen: controles deservicio de VPC, gestión de acceso e identidad en la nube, ACLs, Cloud DLP, elcentro de comando de seguridad en la nube.