It seems that you are in United States. Do you want to visit our website more suitable for your region? Go to our global (English) site

Misbruik gratis clouddiensten eenvoudig door ontbreken verificatie

1 minute read

Misbruik gratis clouddiensten eenvoudig door ontbreken verificatie

Gratis clouddiensten kunnen eenvoudig worden misbruikt doordat bij veel van die diensten verificatie ontbreekt. Onderzoekers Rob Ragan en Oscar Salazar van Bishop Fox toonden aan dat bijvoorbeeld Dropbox, Google Apps en Amazon EC2 gemakkelijk konden worden gebruikt als botnet.

Ragan en Salazar automatiseerden het e-mailregistratieproces bij de verschillende clouddiensten met gratis e-mailadressen, waardoor ze binnen korte tijd over honderden virtuele machines beschikten. Zo bouwden ze een botnet dat ze inzetten voor grootschalige portscans en cryptocurrency mining.

Het duo wilde aantonen wat er gebeurt als criminelen clouddiensten gaan gebruiken voor malafide praktijken. Ze toonden hun bevindingen in hun presentatie ‘Cloud Ninja: Catch Me If You Can’ op de RSA Conference eind februari.

Van de 150 clouddiensten die ze gebruikten, beschikte twee derde niet over verificatie. Amazon heeft haar clouddienst wel dichtgetimmerd en vraagt bij inschrijving om een telefoonnummer waarnaar SMS-tokens worden gestuurd om in te loggen. In de aanbevelingen adviseert het duo dan ook om SMS-verificatie (2FA) in te voeren misbruik tegen te gaan. 



Interessant? Deel het met je netwerk!

Over de auteur

Erik Eggens

Connect met Erik via

LinkedIn, Twitter.