Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich

Ein gravierendes Datenleck erschüttert die Cloud-Welt: Weltweit sind rund 200 Milliarden Dateien durch falsch konfigurierte Speicher-Buckets bei mehreren großen Cloud-Anbietern ungeschützt im Netz gelandet. Darunter befinden sich hochsensible Informationen wie Zugangsdaten, Quellcode und interne Backups.

Das Cybersecurity-Unternehmen Cyble, spezialisiert auf Darknet-Überwachung und Bedrohungsanalysen, entdeckte das Ausmaß des Lecks mithilfe eines eigenen Schwachstellenscanners. Insgesamt wurden über 660.000 ungeschützte Buckets identifiziert, verteilt auf sieben große Cloud-Plattformen.

Allein die Auswertung von nur drei sensiblen Datentypen – Zugangsdaten, Quellcode und vertrauliche Dokumente – brachte Millionen kompromittierter Dateien ans Licht. Besonders alarmierend: Bei der Suche nach Quellcode in der Programmiersprache Go stieß Cyble auf 5,6 Millionen Treffer. Die Analyse nach Umgebungsvariablen mit Zugangsdaten („env credentials“) ergab rund 110.000 Funde, und bei der Kategorie „vertrauliche Dateien“ wurden über 1,6 Millionen Treffer gezählt.

Ein Cyble-Forscher betont: „Die Dimension dieses Lecks zeigt, wie gefährlich unzureichend gesicherte Cloud-Konfigurationen sein können.“

Unternehmen und Entwickler sind nun dringend gefordert, ihre Cloud-Sicherheitsrichtlinien zu überprüfen und konsequent umzusetzen.

Das ODIN-Tool von Cyble zur Suche nach Sicherheitslücken hat mehr als 200 Milliarden exponierte Dateien in Cloud-Buckets von sieben großen Cloud-Anbietern entdeckt.

Die 200 Milliarden exponierten Dateien spiegeln das enorme Ausmaß der versehentlichen Datenpreisgabe im Internet wider, bei der Daten aufgrund von Fehlkonfigurationen oft öffentlich zugänglich bleiben. Die Dateien umfassen Daten von Dokumenten und Anmeldedaten bis hin zu Quellcode und internen Backups.

Die ODIN-Plattform scannt Cloud-Buckets in großem Umfang und klassifiziert exponierte Inhalte mithilfe maschineller Lernverfahren. ODIN hat außerdem mehr als 660.000 exponierte Buckets und mehr als 91 Millionen exponierte Hosts entdeckt.

Offengelegte Anmeldedaten, Quellcode und vertrauliche Dateien

Die Filterung der ODIN-Daten nach nur drei sensiblen Datentypen ergab Millionen von Anmeldedaten, Quellcode und vertraulichen Dateien (Bilder unten; URLs und identifizierende Informationen wurden entfernt).

Die Filterung nach „Quellcode“ und der Programmiersprache Go ergab beispielsweise 5,6 Millionen Ergebnisse (Bild unten).

Graik / Quelle: Cyble

Die Filterung nach env-Anmeldedaten ergab 110.000 Ergebnisse:

Und eine Suche nach vertraulichen Dateien ergab mehr als 1,6 Millionen Ergebnisse:

Dies sind nur drei von mehreren sensiblen Datentypen, die durch das maschinelle Lernen von ODIN erkannt wurden.

Cloud-Speicher: Komplexe Zugriffsverwaltung birgt hohes Risiko für Datenlecks

Die Zahl falsch konfigurierter Cloud-Speicher-Buckets steigt weiter – mit teils dramatischen Folgen. Seit dem letzten Bericht des Cybersicherheitsunternehmens Cyble im August 2024, der über 500.000 ungeschützte Speicher-Buckets zählte, ist die Zahl nochmals deutlich gewachsen. Inzwischen sind laut aktuellen Analysen über 660.000 Cloud-Buckets öffentlich zugänglich.

Die fehlerhafte Konfiguration solcher Speicher ist kein Einzelfall – selbst große Unternehmen tun sich schwer mit der korrekten Verwaltung der Zugriffsrechte. Obwohl Cloud-Speicher standardmäßig privat ist, kann die Freigabe einzelner Objekte oder Ressourcen schnell zu komplexen und fehleranfälligen Berechtigungsstrukturen führen.

Cloud-Anbieter empfehlen daher jeweils eigene, möglichst einheitliche Verwaltungsmodelle:
Google etwa rät zur ausschließlichen Nutzung der Identitäts- und Zugriffsverwaltung (IAM), um Berechtigungen zentral zu regeln. Zwar bietet die Kombination aus IAM und Zugriffskontrolllisten (ACLs) mehr Flexibilität, erhöht aber auch die Komplexität – und damit das Risiko versehentlicher Datenfreigaben. Eine praktikable Lösung: verwaltete Ordner, mit denen sich der Zugriff gezielt auf bestimmte Objektgruppen innerhalb eines Buckets begrenzen lässt.

Auch Amazon S3 verfolgt den Grundsatz „Privat als Standard“. Zugriff wird hier über detaillierte Richtlinien gesteuert, die sich auf Buckets oder einzelne Identitäten innerhalb des IAM-Systems beziehen lassen.

Microsoft empfiehlt für Azure Storage den Einsatz von Microsoft Entra ID in Kombination mit verwalteten Identitäten, um Autorisierungen sicher und nachvollziehbar zu gestalten.

Die Herausforderung bleibt: Nur wer Berechtigungen klar strukturiert und regelmäßig überprüft, kann sensible Daten in der Cloud wirksam schützen.

---

Bild/Quelle: https://depositphotos.com/de/home.html