Projekt Bucketchallenge

If you suspend your transcription on amara.org, please add a timestamp below to indicate how far you progressed! This will help others to resume your work!

Please do not press “publish” on amara.org to save your progress, use “save draft” instead. Only press “publish” when you're done with quality control.

Video duration
Not yet available
Language
German
Abstract
S3 Buckets mit kübelweise privaten Daten: Finden, melden, kein Problem. Aber grundlegend was ändern? Denkste!

Amazon S3 erlaubt es große Datenmengen für kleines Geld in der Cloud abzulegen. Mit dabei: Die technisch langweiligste Fehlkonfiguration gigantisch skaliert.

Frei zugängliche S3-Buckets mit privaten Daten haben in den letzten Jahren häufig für Schlagzeilen gesorgt. Beispiele aus diesem Jahr sind Multifaktor-SMS oder Dokumente von Finanzdienstleistern. Wir haben uns auf den Weg gemacht um die Situation zu verstehen und zu verbessern. Dazu erklären wir, welche einzigartigen Eigenschaften wir von AWS ausgenutzt haben, um etwa 100 000 offene Buckets zu finden. Mit dabei: medizinische Daten, personenbezogene Daten, Kreditkartendaten, und und und. Wir erklären Ansätze, wie wir anhand von Dateinamen eine Idee bekommen, welche Buckets wir uns ansehen und melden sollten und welche uns nicht interessieren.

Der Versuch die Situation zu verbessern lässt uns mit einer großen Enttäuschung zurück: Verantwortliche Nutzer der Cloud-Services sind nur mühsam zu ermitteln, und die Cloud-Betreiber sind leider auch keine signifikante Hilfe. Einzig die DSGVO scheint den Verantwortlichen ein kleiner Ansporn. Wir stellen dar, was unserer Erfahrung nach hilft Bucket offline zu bekommen, und wann es so gut wie aussichtslos ist.

Talk ID
38c3-585
Event:
38c3
Day
2
Room
Saal ZIGZAG
Start
11 p.m.
Duration
00:40:00
Track
Security
Type of
Talk
Speaker
Kaspar
Kaspar
Talk Slug & media link
38c3-585-projekt-bucketchallenge

The video is not yet available