Großes Lob an die Dialog-EDV: auf offenes #Bucket schnell reagiert und auch noch 300€ Spende an @netzpolitik_feed :-)

Finde ich hier Kontakt zu #arvato? Die Kollegen dort haben sogar eine #security.txt (https://arvato.com/.well-known/security.txt), leider scheint nur niemand die Mails zu lesen (ab davon, dass die Mailadresse mit .om-Endung nicht funktoiniert). Ich hätte #Gesprächsbedarf. #bucket

The #norwegian public transport organisation #vy closed a #s3 #bucket with more than 50k reports about how their bus drivers perform in therms of efficiency, comfort and so on. The system is called "Eco Safe".

A litte description of this system is here: https://ytf.no/nyheter/gronn-overvakning

Quotes: orig: "Vi tillitsvalgte har full kontroll på hvem som får tilgang til forskjellige opplysninger og hvordan de brukes." engl translation: "We union representatives have full control over who gets access to different information and how it is used." This was not accurate until a few hours ago.

Tonight I found a #s3 #bucket with backups of 106 unique #Wordpress instances of doctors, freelancers and other SMB from #uk .
The company owning the bucket claims to provide secure cloud infrastructure. I have my doubts.

#SQL Dump in the #s3 #bucket of today with md5-hashed passwords AND the cleartext password next to it.

I do recommend:

* to change the permissions of the bucket
* change all passwords of the users on your platform
* don't store plaintext passwords of your users

S3: возможности протокола и паттерны использования

Привет, Хабр! На связи Игорь Шишкин, я руковожу командой R&D в облачном направлении Рег.ру и являюсь архитектором наших сервисов. В статье расскажу, как в целом работать с S3-совместимыми хранилищами, зачем их использовать, какие бывают базовые паттерны и что с этим делать. Поехали!

https://habr.com/ru/companies/runity/articles/898710/

Finland: 105,000 Satula.com Records Exposed in Unsecured AWS.

https://medium.com/@newschu.substack.com/finland-105-000-satula-com-records-exposed-in-unsecured-aws-be7318ca5523

All hail the #Bucket #Buckets #Bucketeer #Bucketeers #BucketMaking #HolyBucket #TheHolyBucket #SaintRadu #SaintBianca #BucketSaintRadu #BucketSaintBianca #TheBucketSaints.

Thanks to @camwilson, @masek & Crikey for bringing the SMH/AFR subscriber S3 bucket breach into light and getting it fixed.

First announced at https://infosec.exchange/@bucketchallenge/114186026451954362

#crikey:
> Last year, Nine bragged about having first-party data including “demographic, content consumption and behavioural information” on 22 million users, and combining that with third party data, to create “rich, detailed, real-time profiles of audience members”.

#s3 #bucket #smh #afr #auspol

https://www.crikey.com.au/2025/03/27/sydney-morning-herald-age-afr-subscribers-personal-data-leaked-online/

Tonight I found a #s3 #bucket from down under upside down and open. It spills a lot of juicy customer data including names, addresses and email IDs.

The responsible disclosure was just sent to the company "owning" the data, but I guess this is the work of some sub contractor. I kindly asked for updates, otherwise I'll escalate that bucket to other agencies to make it go offline.

#TangentAlert: #BraceBrace...!

I wish I could #Sing like #SharaNelson; but...

I'm a 6'2" #MostlyHuman #PartTimeWerewolf 83% #Robot #Humanoid #Bass / #Baritone, and I can #BarelyCarryATune in a #Bucket...

#ManyPeople have #Tried to #TeachMe to #SingProperly #OverTheYears; but, #MyHeart is just #NotInIT... I'd rather #HowlAtTheMoon...

| ​

Oma #nextcloud palvelin on nyt toiminnassa, ja säädetty kuntoon. Muutama havainto asiaan liittyen heille, jotka suunnittelevat itsehostaamista:

1) Nextcloud -asennuksen voi tehdä monella tapaa. Itse ajoin testin vuoksi asennukset #dietpi distron, #snap paketin ja #AIO (All-In-One) paketin kautta.

2) Dietpi distron kautta asennus on melko mutkaton prosessi, käyttöliittymä retromaisen tekstipohjainen. Asentuu raudalle ilman kontteja. Joutuu säätämään jälkikäteen, jos haluaa ajella reverse proxyn kautta. Jatkoon, jos säätäminen maistuupi.

3) Snap paketin kautta, asennus on myös melko suoraviivaista, muutaman komentorivikomennon syöttämistä. Asennus menee kontteihin, asennuksessa asentaa snap -version dockerista, josta piireissä ollaan montaa mieltä. Valkotaulun joutuu asentamaan erikseen omaan konttiin, ja on "pain in the rectal area" -tyyppistä. Myös reverse proxyn kanssa menee tappeluksi. Ei jatkoon.

4) AIO -asennus asentaa omiin kontteihin kaiken tarpeellisen, #borg backupista ja valkotaulupalvelimesta lähtien. Hyvät ohjeet eri reverse proxy -vaihtoehdoille. Asennus verkkoselainpohjainen kontin kautta. Tämä valikoitui omaan purkkiini.

5) On todella harmillista, ettei missään vaihtoehdoista saa #social -aplikaatiota toimimaan aplikaatiossa #webfinger -käsittelijässä lymyilevän bugin johdosta. Käänsin käytännössä kaikki kivet tuota debugatessa, ja lokien ja testien perusteella syy on apissa, ei itse nextcloud -raamissa. Jos kehitysporukka saisi tuon bugin torpattua, saisin uuden instanssin nextcloudista myös #fediverse -perheeseen.

6) Integraatio mobiililaitteen kanssa onnistuu, valmiit apit ovat #android ja #iphone luureille. Itse jouduin debuggaaman oman S3 -purkkiservon kanssa, kun iPhonen appi virheili melkoisen määrän alussa. Syy löytyi lopulta #S3 servon ja #bucket -asetuksista.

#selfhosting #asd #adhd #erityismielenkiinnonkohteet

This trailer could definitely use a parking leg.

Everybody knows the best bits are always stuck at the bottom of the #bucket

I guess the #Lenovo security team joined mastodon to contact me and fix their #s3 #bucket. Big congrats to @lenovosec for fixing that bucket!

The bucket contained quite a few customer data from India. I would guess it was some subsidiary being responsible for the data leak.