- Des cybercriminels ont exploité des sites web mal configurés pour voler des identifiants AWS et des données sensibles, en utilisant des buckets S3 ouverts pour le stockage.
- La brèche met en évidence l’importance de configurations de sécurité cloud appropriées et du respect du modèle de responsabilité partagée entre fournisseurs et clients.
- Les attaquants, liés aux groupes de cybercriminalité ShinyHunters et Nemesis, ont utilisé des outils open source pour scanner des millions d’adresses IP AWS à la recherche d’identifiants exposés.
Ce qui s’est passé: des criminels liés à ShinyHunters stockent des identifiants AWS volés dans des buckets S3 ouverts
Une cyberattaque à grande échelle a ciblé les clients d’AWS, où des cybercriminels ont exploité des erreurs de configuration sur des sites web publics pour voler des identifiants AWS et d’autres données sensibles. Les attaquants, liés aux groupes de cybercriminalité ShinyHunters et Nemesis, ont accédé à plus de 2 To de données, incluant du code source, des identifiants de base de données et des clés de services de messagerie. Les criminels ont utilisé des buckets S3 ouverts, mal configurés par leurs victimes, pour stocker les données volées. Les chercheurs Noam Rotem et Ran Locar ont découvert la brèche lors d’analyses d’environnements cloud non sécurisés et l’ont signalée à AWS et à la Direction nationale israélienne du cyber. Cette brèche s’est poursuivie pendant plusieurs mois, les attaquants utilisant divers outils open source et exploits pour scanner des millions d’adresses IP AWS à la recherche d’identifiants et de secrets exposés.
À lire également: AWS dévoile des puces d’IA de prochaine génération et des instances cloud
À lire également: AWS promet 100 millions de dollars en crédits cloud pour soutenir l’éducation
Pourquoi c’est important
Cette brèche met en évidence une vulnérabilité critique de la sécurité cloud: le modèle de responsabilité partagée entre les fournisseurs cloud et leurs clients. Bien qu’AWS fournisse une infrastructure sécurisée, les clients sont responsables de garantir une configuration et une gestion appropriées des données sensibles. Les attaquants ont exploité des sites web publics mal configurés pour voler des identifiants, des clés et des secrets, soulignant le risque d’une mauvaise gestion des données.
Un problème clé résidait dans l’utilisation par les criminels de buckets S3 ouverts pour stocker plus de 2 To de données volées. Cela a exposé l’infrastructure des attaquants et a souligné les dangers du stockage cloud non sécurisé. De plus, l’implication de groupes de cybercriminalité majeurs comme ShinyHunters illustre la nature sophistiquée de ces attaques. Cette brèche rappelle l’importance de sécuriser les identifiants AWS et d’utiliser des outils comme AWS Secrets Manager pour empêcher l’exposition.
Les utilisateurs du cloud doivent respecter les bonnes pratiques de sécurité, telles que l’audit régulier de leurs environnements cloud, la sécurisation des données sensibles et l’assurance que les identifiants ne sont pas codés en dur dans le code ou les dépôts. En suivant ces précautions, les risques liés aux erreurs de configuration cloud peuvent être minimisés, aidant à prévenir des brèches de cette ampleur.

