Wie Angreifer falsch konfigurierte S3-Buckets ausnutzen – und wie Sie sich schützen können

Hosten Sie Ihre Website oder App in der Cloud? Oder nutzen Sie AWS, um Ihre nächste KI-Anwendung zu bauen? Dann sollten Sie dieses Video unbedingt sehen!

Cloud-Plattformen wie AWS, Google Cloud und Microsoft Azure machen das Skalieren einfach. Aber: Ihre Cloud-Anwendung ist nur so sicher wie ihre schwächste Konfiguration.

Das Risiko: Falsch konfigurierte Speicher-Buckets

Ein häufiger Fehler sind falsch konfigurierte Storage-Buckets – etwa AWS S3 oder Google Cloud Storage. Ein S3-Bucket speichert Dateien wie Bilder, Backups oder KI-Trainingsdaten. Wird er falsch konfiguriert, kann er sensible Daten preisgeben – auch wenn der Link nirgends auf Ihrer Seite zu finden ist.

Demo

In diesem Video zeige ich, wie Angreifer fehlkonfigurierte S3-Buckets finden und ausnutzen können – und warum es so wichtig ist, Ihre Cloud-Konfiguration regelmäßig zu prüfen und abzusichern.

⚠️ Das Video dient ausschließlich zu Lernzwecken. Alles Gezeigte erfolgt in einer kontrollierten Testumgebung.

Als Ziel verwenden wir eine Demo-Seite namens AWS Goat, die auf AWS gehostet wird.

Ablauf der Demo:

1. URL der Seite kopieren und mit OWASP ZAP scannen.
2. ZAP findet alle Seiten und Ressourcen – darunter auch eine S3-Bucket-URL.
3. Der Bucket erlaubt keine Inhaltsanzeige, aber der Name enthält „production“.
4. Mit einer Wortliste erzeugen wir ähnliche Bucket-Namen und testen sie mit S3 Scanner.
5. Wir finden einen offenen Bucket, öffnen ihn und entdecken eine .ssh-Datei.
6. Die Config-Datei enthält IP-Adressen und private SSH-Schlüssel.
7. Wir scannen die IPs mit Nmap und finden eine öffentlich erreichbare Maschine.
8. Mit dem SSH-Key loggen wir uns erfolgreich ein. Das dürfte niemals passieren!

Was Sie mitnehmen sollten

• Fehlkonfigurierte S3-Buckets können zu schweren Sicherheitslücken führen.
• Es gibt Webseiten, die offene S3-Buckets indizieren – jeder kann sie finden!
• Nicht nur Buckets sind gefährdet: Auch IAM-Rollen, offene Ports, Datenbanken etc.

Was Sie tun sollten

• Überprüfen Sie regelmäßig Ihre Cloud-Konfiguration.

• Setzen Sie auf das Prinzip der minimalen Berechtigungen.

• Lassen Sie Ihre Umgebung von Sicherheitsexperten prüfen.

  Unser Angebot für Ihre Sicherheitsbewertung

Wenn Ihnen das Video gefallen hat, freuen wir uns über ein Like, Teilen oder Kommentar.

Danke fürs Zuschauen – und denken Sie daran: Cloud-Sicherheit ist kein Zufall! ☁️🔐