Webseite von Amazon Web Services, über die S3-Buckets bereitgestellt werden
Webseite von Amazon Web Services, über die S3-Buckets bereitgestellt werden
Bildquelle: dennizn, Lizenz

S3-Buckets: Open-Source-Tool findet Schlüssel und Token

Auf zahlreichen ungesicherten AWS S3-Buckets liegen brisante Sicherheitsschlüssel und Zugriffstoken rum. Der S3crets Scanner findet sie.

Infolge eines Sicherheitsvorfalls bei SEGA stellte der Sicherheitsforscher Eilon Harel fest, dass es bisher kein geeignetes Tool zum Scannen versehentlicher Datenlecks gibt. Also entwickelte er selbst den quelloffenen S3crets Scanner. Mit diesem lassen sich Schlüssel und Zugriffstoken in öffentlich zugänglichen S3-Buckets der Amazon Web Services (AWS) automatisiert aufspüren.

Viele Unternehmen sichern ihre S3-Buckets nicht ausreichend ab

Das neue Open-Source-Tool „S3crets Scanner“ durchsucht öffentlich zugängliche AWS S3-Buckets nach Schlüsseln oder Token, die eigentlich nicht für die Öffentlichkeit vorgesehen sind. Bei Amazons S3 (Simple Storage Service) handelt es sich um einen Cloud-Speicherdienst. Viele Unternehmen stellen darüber mitunter Software, Dienste und Daten in Containern, den sogenannten Buckets, bereit.

In der Vergangenheit kam es bereits des Öfteren zu Datenschutzverletzungen, da AWS-Kunden es immer wieder versäumen, ihre S3-Buckets derart abzusichern, dass deren Inhalte nicht öffentlich zugänglich sind. Dadurch bekamen Angreifer häufig Zugriff auf brisante Unternehmensdaten, die mitunter auch Mitarbeiter und Kunden betrafen.

Eilon Harel entwickelt den S3crets Scanner

Der S3crets Scanner bietet sich als Werkzeug an, mit dem sich Authentifizierungsschlüssel, Zugriffstoken und API-Schlüssel in den ungesicherten S3-Buckets auffinden lassen. Denn wenn Hacker in den Besitz dieser Daten kommen, erhalten sie dadurch oftmals Zugang zu weitaus mehr Diensten oder sogar ganzen Unternehmensnetzwerken.

Entwickler des auf GitHub verfügbaren Open-Source-Tools ist der Sicherheitsforscher Eilon Harel. Bei der Aufarbeitung eines Sicherheitsvorfalls bei dem Spielehersteller SEGA fiel dem Forscher auf, dass es bisher keine Tools zum Scannen versehentlicher Datenlecks gibt. Also entschied er sich, die Sache selbst in die Hand zu nehmen und entwickelte den auf der Programmiersprache Python basierenden S3crets Scanner. Damit lassen sich S3-Buckets automatisiert nach brisanten Informationen durchsuchen.

S3-Buckets werden automatisch nach Schlüsseln durchsucht

Wie Harel berichtet, kann das Tool folgende Aktionen automatisch ausführen:

  • Verwendung von CSPM, um eine Liste der öffentlichen S3-Buckets zu erhalten
  • Auflisten des Bucket-Inhalts über API-Abfragen
  • Prüfen auf offengelegte Textdateien
  • Herunterladen der relevanten Textdateien
  • Scannen des Inhalts auf Schlüssel und Token
  • Ergebnisse an SIEM weiterleiten

Um die Inhalte von Textdateien innerhalb eines Buckets zu scannen, kommt das Go-basierte Tool Trufflehog zum Einsatz. Dieses ist mitunter auf die Suche nach privaten Schlüsseln auf GitHub, GitLab, Dateisystemen und auch S3-Buckets von AWS spezialisiert. Harel sieht in seinem S3crets Scanner ein wertvolles Tool für Unternehmen, um Datenlecks zu minimieren. Dies erfordere jedoch, dass sie die Software regelmäßig einsetzen, um ihre Datenbestände zu scannen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.