Коды доступа и секретные пароли к тысячам облачных сервисов пользователей можно легко найти с помощью Google Code Search, заявляют исследователи по безопасности. Исследователи Stach & Liu, компании по безопасности, которая разрабатывает хакерские инструменты для Google, первыми обнародовали результаты своего исследования облачных сервисов на конференции Hacker Halted, которая состоялась в Майами в прошлом месяце. В настоящее время исследователи советуют компаниям, которые собираются хранить критическую информацию в публичном "облаке" не делать этого. "Вносить в пределы облака критическую информацию – не самая лучшая идея – по крайней мере до тех пор, пока не будут созданы системы обнаружения вторжений, которые позволили бы пользователям видеть их в своих облачных сервисах", - говорит Фран Браун, исполнительный директор Stach & Liu. "Компании стремятся к функциональности, но они забывают о риске". В своей онлайн-презентации Браун показал, каким образом хакер, знакомый с работой Google и простыми фактами об идентификации облачных сервисов, легко может получить коды доступа и пароли, необходимые для разблокирования данных, хранящихся в общественных "облачных" сервисах типа Amazon EC3. Такие данные обычно хранятся у разработчиков приложений и системных администраторов, которые не знают, что простые текстовые файлы могут быть проиндексированы поисковиками и обнаружены с помощью простого поиска Google, сказал Браун. "Мы нашли тысячи паролей, хранящихся таким образом, они могут быть использованы для управления компьютером в облаке, его отключения или атаки других компьютеров одного сервиса", - заявляет он. Проблема, согласно Stach & Liu, не связана с сервисным провайдером, она связана с разработчиками и администраторами, хранящими критическую информацию в текстовых файлах и приложениях, которые могли быть подвергнуты риску. "Достаточно нанять безответственного разработчика, который внесет пароли в текстовый файл – и вы в большой опасности", - отметил Браун. Stach & Liu разработала инструмент взлома облака – второй инструмент после Diggity, который был представлен в июле на Black Hat USA - который занимается поиском критических данных с помощью простого поиска кода в Google. Если облачные сервисы идентификации для получения доступа к хранящимся данным требуют введения большого количества информации, то Stach & Liu смогли найти все данные для получения доступа к корпоративным данным, хранящимся в облаке, сказал Браун. Часто соглашения облачных сервисов содержат пункт, освобождающий провайдера от ответственности за подобные утечки данных, продолжает Браун. "Если вы ознакомитесь с текстом соглашений более тщательно, то увидите, что провайдер не гарантирует, что данные, хранящиеся на сервисе, защищены", - говорит он. "Индустрии безопасности необходимо подумать над тем, как работать с облачными сервисными провайдерами, в том числе и Amazon". В своей презентации компания Stach & Liu также представила несколько других утилит Google, включая инструменты, обнаруживающие вирусы и уязвимости во флэш-файлах и приложения, предупреждающие утечку данных. "Флэш-файлы представляют собой еще одну угрозу", - сказал Браун. "Очень легко найти страницы с паролями, если сайт использует флэш, скопировать их и найти уязвимости". В своей презентации Браун смог за 30 секунд с помощью Google получить доступ к одному из аккаунтов.