Amazon S3 erlaubt es große Datenmengen für kleines Geld in der Cloud abzulegen. Mit dabei: Die technisch langweiligste Fehlkonfiguration gigantisch skaliert.

Frei zugängliche S3-Buckets mit privaten Daten haben in den letzten Jahren häufig für Schlagzeilen gesorgt. Beispiele aus diesem Jahr sind Multifaktor-SMS oder Dokumente von Finanzdienstleistern. Wir haben uns auf den Weg gemacht um die Situation zu verstehen und zu verbessern. Dazu erklären wir, welche einzigartigen Eigenschaften wir von AWS ausgenutzt haben, um etwa 100 000 offene Buckets zu finden. Mit dabei: medizinische Daten, personenbezogene Daten, Kreditkartendaten, und und und. Wir erklären Ansätze, wie wir anhand von Dateinamen eine Idee bekommen, welche Buckets wir uns ansehen und melden sollten und welche uns nicht interessieren.

Der Versuch die Situation zu verbessern lässt uns mit einer großen Enttäuschung zurück: Verantwortliche Nutzer der Cloud-Services sind nur mühsam zu ermitteln, und die Cloud-Betreiber sind leider auch keine signifikante Hilfe. Einzig die DSGVO scheint den Verantwortlichen ein kleiner Ansporn. Wir stellen dar, was unserer Erfahrung nach hilft Bucket offline zu bekommen, und wann es so gut wie aussichtslos ist.