# El riesgo de un bucket configurado como publico

Configurar un bucket de S3 como público implica riesgos significativos de seguridad que pueden conducir a la exposición no deseada de datos sensibles, pérdida de privacidad y posiblemente violaciones de seguridad significativas. La accesibilidad pública de un bucket significa que cualquier persona en Internet puede acceder a los datos almacenados en él sin necesidad de autenticación, lo que podría incluir información confidencial, datos personales, o propiedad intelectual.

{% embed url="<https://www.youtube.com/watch?v=CeeTBCvnP1g>" %}

## <mark style="color:orange;">Riesgos Asociados con Buckets Públicos de S3</mark>

* <mark style="color:orange;">**Exposición de Datos Sensibles**</mark><mark style="color:orange;">:</mark> Datos confidenciales, como información personal, registros financieros, o secretos comerciales, pueden ser expuestos accidentalmente al público.
* <mark style="color:orange;">**Violaciones de Cumplimiento y Privacidad**</mark><mark style="color:orange;">:</mark> La exposición pública de datos puede violar regulaciones de privacidad y cumplimiento como GDPR, HIPAA, entre otras, resultando en multas severas y daño a la reputación.
* <mark style="color:orange;">**Amenazas de Seguridad**</mark><mark style="color:orange;">:</mark> La disponibilidad pública de datos puede ser explotada por actores maliciosos para lanzar ataques de ingeniería social, phishing, o incluso para identificar vulnerabilidades en aplicaciones o infraestructuras.

## <mark style="color:orange;">Incidentes de Seguridad Relacionados</mark>

Varios incidentes de seguridad han resaltado los riesgos de configurar buckets de S3 como públicos:

* [<mark style="color:orange;">**Reindeer (Anteriormente Digital Marketing Firm en Nueva York)**</mark>](https://www.securitymagazine.com/articles/95782-reindeer-leaked-the-sensitive-data-of-more-than-300000-people)<mark style="color:orange;">:</mark> Involuntariamente expuso su bucket de Amazon S3 al público, lo que resultó en una fuga significativa de 50,000 archivos (32 GB) y afectó a 306,000 individuos. Los datos expuestos incluían nombres completos, direcciones, correos electrónicos, números de teléfono y contraseñas hash​​.
* [<mark style="color:orange;">**Capita**</mark>](https://doublepulsar.com/capitas-standard-industry-practice-633gb-open-cloud-storage-5d87e7e96a70)<mark style="color:orange;">:</mark> Experimentó una calamidad de seguridad debido a un bucket de AWS no asegurado, un escenario común que ha llevado al descubrimiento de miles de buckets filtrados, revelando secretos enterrados y datos sensibles​​.
* [<mark style="color:orange;">**SEGA Europe**</mark>](https://threatpost.com/sega-security-aws-s3-exposed-steam/177352/)<mark style="color:orange;">:</mark> Actuó a tiempo para corregir una brecha de seguridad antes de que los actores maliciosos pudieran lanzar un ataque costoso. El incidente destacó dos tipos de malas configuraciones en la nube: el bucket de AWS S3 estaba configurado para permitir el acceso público​​.