Des informations sur l’infrastructure de GoDaddy étaient en accès libre sur Amazon S3

Parfois, nul besoin de développer des trésors d’ingéniosité pour récupérer des données sensibles : elles sont accessibles via une simple URL.

C’est la mésaventure d’Amazon et GoDaddy au milieu du mois d’août. UpGuard découvre le pot aux roses mi-juin avec le bucket abbottgodaddy librement accessible. Ce genre de dossier est privé par défaut, mais il est possible de le rendre public si besoin.

Dans le cas présent, il semble qu’AWS soit responsable : « Le compartiment en question a été créé par un commercial AWS pour stocker des scénarios de tarification AWS potentiels tout en travaillant avec un client […] le commercial n’a pas suivi les meilleures pratiques d’AWS avec ce compartiment » répond un porte-parole d’Amazon.

Il ajoute que le bucket ne contenait aucune information sur des clients GoDaddy. Le dossier en question contenait plusieurs versions d’un tableur GDDY_cloud_master_data_1205 (AWS r10).xlsx dont la dernière version pèse tout de même 17 Mo. Il s’agit essentiellement de données correspondant à un déploiement d’infrastructure à très grande échelle.

Un porte-parole de GoDaddy donne sa version des faits à Engadget : « Les documents exposés étaient des modèles spéculatifs d’un employé d’AWS, ils ne reflètent pas le travail en cours avec Amazon ».

GoDaddy a été notifié le 20 juin et a répondu à UpGuard le… 26 juillet. Le même jour, UpGuard confirme que la fuite de donnée était bouchée. Interrogé sur ce temps de réponse, GoDaddy n’a pas souhaité répondre.