先週のクラウドセキュリティ:誤って公開されていたS3バケットを発見したホワイトハッカーに報奨金

先週のクラウド関連のセキュリテイ・トピックをダイジェストでお伝え(写真:アフロ)

 2020年1月12日週に気になったクラウドセキュリテイトピックをダイジェストでお伝えする。なお本トピックで取り上げる基準はクラウドサービスに関するトピックや、クラウドサービス固有のセキュリテイインシデントによって発生したセキュリテイインシデントを対象としており、エンドポイント関連やマルウェア等は対象としていない。

■PayPal、脆弱性を発見したホワイトハッカーに報奨金を支払い

 PayPalはセキュリティ研究者のAlex Birsanに対して、$ 15,300のバグ報奨金を支払った

 BirsanはPayPalのログイン画面で悪意のあるユーザーがクロスサイトスクリプトインクルージョン(XSSI)攻撃を介してセキュリティチャレンジトークンを第三者に公開する方法を特定した。ユーザーがフィッシングサイト等から、ログインリンクをクリックしID/PWを入力すると、悪意のある第三者がセキュリティチャレンジを完了し、認証要求の再生をトリガーしてユーザーのパスワードを公開する可能性がある。これは、ユーザーがフィッシングページのような悪意のあるサイトからのログインリンクをクリックした場合にのみ発生する。

 PayPalは、Birsanの報告を受けセキュリティトークンの再利用を防ぐためにセキュリティチャレンジリクエストに追加の制御を実装し、既にこの脆弱性を解決済み。本脆弱性を利用した不正使用の証拠は発見されなかった。

■Razer、誤って公開されていたS3バケットを発見したホワイトハッカーに報奨金を支払い

 ゲーミングマウスを提供しているRazerは、報奨金制度を利用してホワイトハッカーに同社が提供しているウェブサイトのセキュリティホールの調査を依頼している。

 Sourav Sahana氏が、以下2つのS3バケットが外部に公開されていることを発見し、Razerに報告。

 http://rzimageupload.s3.amazonaws.com/

 https: //kaizo-s3-public.s3-ap-southeast-1.amazonaws.com/

 Razerは報奨金プログラムに基づいて、誤った設定のS3バケット1個につき$250、合計$500を支払った。

 本設定は、既に修正済み。

■CHS Consulting、S3の設定ミスによりコンサルタントの個人情報を誤って公開

 vpnMentorの研究チームは、ロンドンに本拠を置くコンサルティング会社CHS Consultingが利用するAWSのS3にて以下の複数のコンサルティング会社に所属するコンサルタント等の個人情報が公開されていたことを発見した。

  •  ダイナミックパートナー(2019年に閉鎖)
  •  Eximius Consultants Limited
  •  ギャラウェイコンサルタント(2014年に閉鎖)
  •  IQコンサルティング
  •  Partners Associates Ltd(2018年に閉鎖)
  •  Winchester Ltd

 公開されたデータのほとんどは2014〜2015年のものであったが、一部のファイルは2011年まで遡るという。数千件のパスポートスキャンデータ等機密性高い個人情報が含まれていた。vpnMentorはAWSとCERT-UKに連絡し、本事象は既に解決済み。