Subscribe, Like, and Steal? – Cloud-Zugangsdaten bei YouTube auf dem Servierteller

Golem.de berichtet über ein Forschungsprojekt von Senior IT Security Consultant Thomas Krauß und IT Security Consultant Fabian Krone

Ist es nicht praktisch, dass zu Corona-Zeiten einfach Vorträge von so gut wie jedem Ort der Welt über YouTube gehalten werden können? Man legt einfach ein Nutzerkonto mithilfe eines Cloud-Dienstes wie beispielsweise AWS (Amazon Web Services) an und schon kann es losgehen! Praktisch? Ja. – Sicher? Das kommt drauf an.

Das wissen auch die IT-Sicherheitsexperten Thomas Krauß und Fabian Krone. Auf golem.de erklärt Krauß, welche Gefahren sich hinter "harmlosen" YouTube-Tutorials über die Cloud verstecken. Dass Zugangsdaten in Tutorials eingesehen werden können, stellte er schon fest, als er sich vor kurzem einen Vortrag anschaute. Um herauszufinden, wie oft das möglich ist, sichteten die beiden Consultants etwa 550 Videos. Das Ergebnis? In fast jedem fünften Video sind Zugangsdaten zu erkennen. Werden diese nicht unmittelbar von den Vortragenden gelöscht, so besteht das Risiko, dass diese Daten ausgenutzt werden könnten.

Ein Hindernis, so fanden die SySS-Mitarbeiter heraus, ist aber die Lesbarkeit der Daten. Zum Beispiel kann es schwer sein, "0" und "O" oder auch "t" und "+" voneinander zu unterscheiden. Aus diesem Grund schrieb Fabian Krone ein Tool, das die Arbeit übernimmt und die Möglichkeiten durchprobiert. Schlussendlich ergaben sich sechs valide Zugangsdaten – allerdings unter großem Aufwand. Also benutzte Krauß den von Amazon eigens entwickelten Dienst "Rekognition" und ein selbst geschriebenes Skript, damit der Vorgang vollständig automatisiert vonstattengeht. Dabei wird das Video in eine Textdatei umgewandelt, aus der das Skript dann die Nutzernamen und Passwörter ausliest. Aber auch Rekognition hat Schwächen: Er verwechselt die gleichen Zeichen, die auch für den Menschen schwer zu unterscheiden sind. Deshalb wurde der Dienst durch das neue SySS-Tool erweitert. Mit der zusätzlichen Funktionalität probiert der Dienst schließlich die Zugangsdaten bei AWS durch.

Was können Unbefugte tun, sobald sie an diese Daten kommen? Möglich wäre, so Krauß, dass Dritte beispielsweise Plattformen wie YouTube verwenden, um kostenpflichtige Inhalte und Dienste zu nutzen. Außerdem könnten die Konten für Angriffe oder das Schürfen von Kryptowährung missbraucht werden. Zum einen wäre die Lösung für das Problem die unmittelbare Löschung des Kontos nach dem Vortrag, denn "es macht keinen Sinn, Testumgebungen herumliegen zu lassen", erklärt der IT-Sicherheitsexperte. Zum anderen könnte der Vortragende präventiv handeln, indem die Zugangsdaten für die Zuschauer nicht sichtbar sind.

Veröffentlichen wollen die IT Security Consultants das entwickelte Skript übrigens in naher Zukunft.

Zum vollständigen Artikel.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer