Websites besmet door verkeerde ingestelde Amazon S3-buckets

Criminelen hebben door verkeerd ingestelde Amazon S3-buckets op 17.000 websites kwaadaardige code weten te plaatsen die creditcardgegevens en andere persoonlijke data van bezoekers steelt.

Hoe heeft het plaatsgevonden?

S3-buckets zijn niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. RiskIQ maakte bekend dat criminelen actief  gezogt hebben naar toegankelijke S3-buckets waarvan iedereen de bestanden kan bekijken en wijzigen. Specifiek wordt er naar JavaScript-bestanden gezocht.

Besmetting van de S3-Buckets

De aanvallers downloaden deze bestanden en voorzien die van kwaadaardige code die invoer van klanten onderschept. Vervolgens worden de aangepaste JavaScript-bestanden weer terug in de S3-bucket geplaatst. De code in de S3-bucket wordt weer geladen door de website. De aangepaste JavaScript-code zorgt er echter voor dat invoer op betaalpagina's van webwinkels en andere websites wordt onderschept en naar de aanvallers gestuurd.

Door het aanpassen van de code in de S3-buckets draait er op meer dan 17.000 domeinen kwaadaardige JavaScript-code. Veel van deze gecompromitteerde websites beschikken niet over een betaalpagina. Yonathan Klijnsma onderzoeker van RiskIQ maakte bekend dat "Het gemak waarmee de sites via publieke S3-buckets zijn te compromitteren houdt in dat als slechts een klein deel van de injecties betaalgegevens oplevert, het de investering waard is". Webmasters en beheerders krijgen dan ook het advies om ervoor te zorgen dat hun S3-buckets niet voor iedereen toegankelijk zijn.