S3crets Scanner procura segredos AWS S3

Há uma nova ferramenta open-source que se dedica a pesquisar os buckets S3 na AWS em busca de informação que não deveria estar acessível publicamente.

Uma das maiores fontes de leaks ou credenciais que depois permitem entrar em serviços privados são ficheiros que estão inadvertidamente expostos na internet. Quer seja por desatenção ou desconhecimento, são frequentes os casos em que ficheiros de serviços na cloud não estão guardados da forma privada que deveriam estar.

Este S3crets Scanner é uma ferramenta open-source criada por um investigador, que percorre os buckets S3 na cloud da Amazon, em busca desse tipo de informação.

O processo elimina desde logo os buckets que estão propositadamente marcados como públicos, tentando focar-se naqueles que poderão estar públicos por engano. E quando os encontra, tenta pesquisar por informação particularmente sensível, como chaves privadas, tokens ou credenciais.

Embora seja o tipo de ferramenta que possa ser usada por atacantes, o seu intuito é que seja utilizado por empresas e developers, para que possam verificar se não houve qualquer lapso que esteja a expor informação sua - ou para que potencialmente possam alertar outras pessoas / empresas que estejam vulneráveis, antes desses dados serem apanhados.