Обнаружена утечка учетных данных Amazon Web Services (AWS) из сотен мобильных приложений.
Недавний Анализ Symantec (откроется в новой вкладке) выявили 1859 общедоступных приложений, 98% из которых являются приложениями для iOS и содержат жестко закодированные учетные данные AWS, которые могут подвергать риску ваши данные.
Компания обнаружила, что более трех четвертей (77%) приложений содержат действительные токены доступа AWS, обеспечивающие доступ к частным облачным сервисам AWS, и почти половина (47%) содержат действительные токены AWS, которые также предоставляют полный доступ к многочисленным, часто миллионам, личные файлы через Amazon Simple Storage Service (Amazon S3).
Утечки паролей AWS
Некоторые из причин уязвимостей, по словам исследователя безопасности Кевина Уоткинса, включают в себя неизвестное использование уязвимых внешних программных библиотек и SDK, аутсорсинг разработки приложений и сотрудничество между командами, которые могут создавать многочисленные возможности для потери информации и неэффективного взаимодействия.
Анализ выделяет три реальных примера пострадавших компаний. Первая, неназванная компания B2B, которая предоставляет интранет и коммуникационную платформу, предоставила своим клиентам мобильный SDK, который раскрывал ключи облачной инфраструктуры компании, раскрывая такие вещи, как финансовые записи и личные данные.
Во втором примере цитируется ряд банковских приложений для iOS, которые передали на аутсорсинг компонент цифрового удостоверения личности и аутентификации своих соответствующих приложений. Личные данные затронутых пользователей этого SDK, включая имена и даты рождения, были раскрыты. Кроме того, пять банковских приложений утекли более 300 000 биометрических цифровых отпечатков пальцев.
Наконец, было обнаружено, что компания, занимающаяся гостиничным бизнесом и развлечениями, которая объединилась с другой компанией для совместного использования своей технологической платформы, раскрывает данные о бизнесе и клиентах из библиотеки, которая использовалась 16 различными приложениями.
Результаты исследования были переданы участвующим компаниям, однако пока неизвестно, были ли проблемы устранены немедленно.
С помощью Пищит Компьютер (откроется в новой вкладке)
