Criminelen hebben via verkeerd ingestelde Amazon S3-buckets op 17.000 websites kwaadaardige code weten te plaatsen die creditcardgegevens en andere persoonlijke data van bezoekers steelt. Amazon Simple Storage Service (S3) is een cloudopslagdienst die door tal van organisaties wordt gebruikt.

Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. Criminelen zoeken actief naar toegankelijke S3-buckets waarvan iedereen de bestanden kan bekijken en wijzigen. Specifiek wordt er naar JavaScript-bestanden gezocht, zo stelt securitybedrijf RiskIQ.

De aanvallers downloaden deze bestanden en voorzien die van kwaadaardige code die invoer van klanten onderschept. Vervolgens worden de aangepaste JavaScript-bestanden weer terug in de S3-bucket geplaatst. De code in de S3-bucket wordt weer geladen door de website. De aangepaste JavaScript-code zorgt er echter voor dat invoer op betaalpagina’s van webwinkels en andere websites wordt onderschept en naar de aanvallers gestuurd.

Door het aanpassen van de code in de S3-buckets draait er op meer dan 17.000 domeinen kwaadaardige JavaScript-code. Veel van deze gecompromitteerde websites beschikken niet over een betaalpagina. “Het gemak waarmee de sites via publieke S3-buckets zijn te compromitteren houdt in dat als slechts een klein deel van de injecties betaalgegevens oplevert, het de investering waard is”, zegt onderzoeker Yonathan Klijnsma van RiskIQ. Webmasters en beheerders krijgen dan ook het advies om ervoor te zorgen dat hun S3-buckets niet voor iedereen toegankelijk zijn.

Source