cloud-sikkerhed

Over 4.000 åbne ElasticSearch-servere indgår i botnet

Dansk

Sikkerhedsfirmaet Kromtech Security har fundet frem til tusindvis af servere, der kører ElasticSearch uden adgangskontrol. Omkring 4.000 af serverne fungerer som Command & Control-servere (C&C) i botnet.

Forskerne fandt software tilhørende to familier af skadelig software: AlinaPOS og JackPOS. Begge programmer inficerer kasseapparater, hvor de forsøger at finde frem til betalingskortoplysninger i arbejdslageret.

99 procent af serverne er virtuelle servere i Amazon Web Services.

Oversættelsestjeneste lækker fortrolige data

Dansk

Den norske Teknisk-naturvitenskapelig forening (Tekna) advarer om, at tjenesten Translate.com lægger resultater af nogle oversættelser ud på nettet. Dermed kan enhver finde fortrolige oplysninger med en søgning.

Tekna har med søgninger fundet virksomheders planer om fyringsrunder, passwords og kontrakter.

Olieselskabet Statoil har fundet interne dokumenter fra virksomheden via tjenesten.

Translate.com oplyser til den norske radio- og tv-station NRK, at virksomheden sletter oplysninger, hvis ejeren beder dem om det.

Data om hotelkunder og vælgere er lækket via Amazon S3

Dansk

Hotelbookingtjenesten Groupize lagrer data på Amazon Web Services, herunder datalagringssystemet S3. Som standard er data herpå beskyttet, så kun registrerede brugere kan tilgå dem. Men nogen har ændret på indstillingerne, så alle data var frit tilgængelige for alle, der prøvede at se dem.

Ifølge sikkerhedsfirmaet Kromtech lå der blandt andet knap 3.000 indscannede kontrakter og aftaler med betalingskortoplysninger. Groupize nægter, at der var fortrolige oplysninger i dataene.

Over tusind apps savner serversikkerhed

Dansk

Over 1.000 apps lækker personoplysninger, fordi deres kommunikation med cloud-servere ikke er ordentligt sikret. Det skriver sikkerhedsfirmaet Appthority i en rapport.

Firmaet oplyser, at sårbarheden ligger i kommunikationen mellem apps og de centrale servere, de lagrer data på.

De sårbare apps bruger blandt andet servere med software som Elasticsearch, Redis, MongoDB og MySQL. Appthority understreger, at platformene ikke i sig selv er usikre. De kan sikres ved at følge best practices, men det gør mange app-udviklere ikke.

Adobe frigiver kontrolrammeværk som open source

Dansk

Adobe udviklede Common Control Framework, fordi virksomhedens tjenester og produkter skal overholde en række standarder: ISO 27001, AICPA SOC Common Criteria, AICPA SOC Availability, HIPAA (Health Insurance Portability and Accountability Act) og flere andre.

I Common Control Framework har Adobe fundet frem til fællesnævnerne for de forskellige standarder. Ud fra dem er der udviklet foranstaltninger til at sikre, at kravene bliver overholdt.

Cloudflare har lækket fortrolige data

Dansk

En lang række websteder kører bag Cloudflare, der blandt andet beskytter mod DDoS-angreb. Tjenesten læser HTML-koden i webstederne og ændrer den, så links bliver omdirigeret.

I denne omskrivning af HTML er fejlen opstået, så data fra arbejdslageret blev sendt med ud til browserne.

Ifølge Cloudflare er det hovedsagelig sket mellem den 13. og 18. februar, hvor fejlen blev opdaget. Der skete lækage ved cirka en ud af 3,3 millioner HTTP-forespørgsler.

Cloudtjenester

Har du lagret følsomme persondata på en cloudtjeneste?

Dette eksempel på it-sikkerhedsproblemer i en universitetsansats hverdag er taget fra en samlet video om emnet. Den er fremstillet i et samarbejde mellem DKCERT og de otte danske universiteter.

Formålet er at fremme bevidstheden om informationssikkerhed hos ansatte og studerende.

Dansk
Abonnér på RSS - cloud-sikkerhed