27. Oktober 2011 - Brisante Datenlecks haben Wissenschaftler der Bochumer Ruhr-Universität bei den Cloud-Angeboten von Amazon entdeckt. Davon betroffen waren die seit geraumer Zeit von Amazon angebotenen Webserviceses, die unter anderem auch die Bereitstellung von Speicherplatz und Rechenleistungen enthalten. Dazu sei vorab angemerkt, dass Amazon die ihnen gemeldeten Sicherheitslücken zwischenzeitlich umgehend beseitigt hat.
Den Bochumer Wissenschaftlern war es gelungen, Signaturen der Programmiersprache XML zu manipulieren und im Ergebnis dieser Handlung die administrativen Rechte von Amazon-Cloud-Kunden ohne Einschränkung zu übernehmen. Die Cloud konnte danach ohne Kenntnisnahme des Kunden beziehungsweise Opfers auf vielfältige Art und Weise durch Dritte gestört werden. Ähnliche Sicherheitslücken konnten die Forscher durch die Anwendung von Cross-Site Scripting im Amazone-Shop und dem AWS-Interface entdecken. Dabei gelang der Zugriff auf Kundendaten bis hin zur Feststellung deren Passwörter im Klartext.
Die Forscher, die dieses gezielt eingesetzte Projekt zur Netz- und Datensicherheit durchgeführt haben, wiesen in der Auswertung darauf hin, dass durch das gemeinsame Log-in-Screen die ständige Gefahr einer Folgereaktion besteht. So kann eine im Amazon-Shop auftretende Sicherheitslücke immer zu einer Gefahr in der Amazon-Cloud führen. Die Bochumer Forscher erklärten weiterhin, dass derartige Datenlecks in einer Cloud auch zukünftig nicht auszuschließen sind. Allerdings müsse diese Gefahr durch das Vermeiden bereits bekannter Schwachstellen in neuen Cloud-Angeboten minimiert werden.
Darüber hinaus werden die Forscher der Ruhr-Universität ihre Bemühungen verstärken, Lösungen zu erarbeiten, die derartige Sicherheitslücken nicht mehr zulassen.
