Es ist der Albtraum eines jeden Cloud-Nutzers: Plötzlich ist der eigene Datenspeicher nicht mehr zugänglich und stattdessen wartet eine Lösegeldforderung auf einen. Genau das passiert gerade einer wachsenden Zahl an Unternehmen und Privatpersonen, die ihre Daten auf Amazon S3-Buckets gespeichert haben. Der Grund? Hacker haben sich über eine ungeschützte Datenquelle Zugang verschafft und die Speicherinhalte verschlüsselt — gegen Lösegeld natürlich.
Mehr als 1.200 AWS-Keys offen im Netz
Sicherheitsforscher von Cybernews entdeckten auf einem öffentlichen Server einen riesigen Datensatz: über 158 Millionen Einträge, darunter mehr als 1.200 eindeutig identifizierbare AWS-Keys. Einige davon waren noch gültig, und genau diese nutzten die Angreifer aus. Ohne viel Aufwand verschafften sie sich Zugriff auf S3-Buckets und verschlüsselten die Daten mit einem Trick, der besonders perfide ist: Statt einer eigenen Schadsoftware verwendeten sie einfach die hauseigene Verschlüsselungstechnologie von AWS.
Wie ein Feature zur Waffe wird
Server-Side Encryption with Customer-Provided Keys, kurz SSE-C, heißt die Methode. Eigentlich ist sie dafür gedacht, dass Kunden ihre Daten noch sicherer verschlüsseln können — mit einem eigenen Schlüssel, der niemals auf AWS-Servern gespeichert wird. Doch genau das machten sich die Hacker zunutze: Sie verschlüsselten die Dateien mit ihren eigenen Schlüsseln, zu denen nur sie den Zugang haben. Ohne diese Schlüssel bleiben die Daten für immer verschlossen.
23.000 Euro für den Schlüssel zur Freiheit
Wer seine Daten wiederhaben möchte, soll löhnen: 0,3 Bitcoin, umgerechnet etwa 23.000 Euro, verlangen die Erpresser. Die Anweisung dazu hinterlassen sie als Datei „warning.txt“ direkt im betroffenen S3-Bucket. Eine E-Mail-Adresse für die Kontaktaufnahme wird praktischerweise gleich mitgeliefert. Die Lage ist ernst, denn bislang gibt es keine bekannte Möglichkeit, die mit SSE-C verschlüsselten Daten, ohne den passenden Schlüssel wiederherzustellen. Wer nicht zahlt, verliert im schlimmsten Fall alles.
AWS reagiert und rät zur Vorsicht
Amazon selbst hat die betroffenen Kunden informiert und rät eindringlich, beim Umgang mit Zugangsschlüsseln sorgfältiger zu sein. Besonders wichtig sei es, keine Keys öffentlich hochzuladen, Repositories abzusichern und verdächtige Aktivitäten genau zu überwachen. Es ist eine deutliche Erinnerung daran, dass Cloud-Sicherheit kein Selbstläufer ist.
Cloud ist Vertrauenssache — aber auch Eigenverantwortung
Dieser Vorfall zeigt auf dramatische Weise, wie schnell eine öffentlich zugängliche Konfigurationsdatei oder ein verlorener Key zu einem teuren Albtraum werden kann. Cloud-Speicher bietet unzählige Vorteile, aber nur, wenn Sicherheit von Anfang an mitgedacht wird. In einer Welt, in der ein einzelner Schlüssel Millionen wert sein kann, wird Vorsicht zum wichtigsten Werkzeug überhaupt.
© stock.adobe.com, Studios