Usikrede databaser angribes 18 gange om dagen

Som mange af jer ved, i dag forekommer størstedelen af datalækager ikke, fordi hackere bryder igennem organisationernes sikkerhed, men fordi organisationerne selv lægger brugerinformation i forkert konfigurerede databaser og servere. Sikkerhedsforskere opdager dårligt sikrede Elasticsearch-databaser og Amazon S3-opbevaringsspande dag ind, dag ud, og de har altid travlt med at informere den ansvarlige organisation og løse problemet, inden dataene ender i de forkerte hænder.

Det frustrerende ved sådanne opdagelser er, at eksperterne oftere end ikke har nogen måde at vide, om nogen med kriminel hensigt faktisk har set den usikrede database og skrabet oplysningerne inde i den. På den ene side gør dette risikovurderingen vanskeligere, og på den anden side giver det den ansvarlige organisation en undskyldning for at undergrave fejlen og sige, at tingene ikke er så dårlige.

Bob Diachenko, en sikkerhedsekspert, der var ansvarlig for opdagelsen af mere end et par lækager, og hans kolleger fra Comparitech ville finde ud af, hvor ofte cyberkriminelle angriber dårligt konfigurerede servere og databaser. For at gøre det oprettede de en Elasticsearch-database, fyldte den med falske data og lod dem bevidst eksponeret uden en adgangskode. De begyndte derefter at registrere alle uautoriserede adgangsforsøg, og de indså, hvor alvorlig risikoen er.

Cyberkriminelle leder konstant efter eksponerede databaser

Lidt over otte og en halv time efter opstillingen af honningprøven registrerede forskerne det første uautoriserede adgangsforsøg. I løbet af de næste ti dage blev Elasticsearch-databasen angrebet 175 gange, i gennemsnit omkring 18 angreb pr. Dag. Størstedelen af aktiviteten stammede fra IP'er i USA, Kina og Rumænien, men som forskerne påpegede, bruger kriminelle ofte fuldmagter til at dække deres spor, så disse data skal man ikke stole på. Ekspertenes rapport bemærker også, at nogle af forespørgslerne måske var fra andre sikkerhedsforskere, der ledte efter datalækager. Selv med dette i tankerne viser dataene endeligt, at cyberkriminelle er på en aktiv jagt efter forkert konfigurerede databaser.

Dette blev også bevist ved det faktum, at angriberen havde deres egne specialiserede scanningsværktøjer, der hjalp dem med at finde Comparitechs honningpotte, allerede før det blev indekseret af Shodan, den søgemaskine, der normalt bruges til at finde disse databaser.

Det handlede ikke kun om dataene

Hvis oplysningerne i Elasticsearch-databasen var ægte, ville Comparitech have været i store problemer. Eksperterne påpegede imidlertid, at ikke alle angreb var rettet mod at stjæle folks personlige oplysninger. En angriber forsøgte at deaktivere serverens firewall, sandsynligvis som forberedelse til et andet angreb. I andre tilfælde så Diachenko's team hackere udnytte en sårbarhed og forsøgte at stjæle de adgangskoder, der er gemt i filen / etc / passwd. En tredje gruppe forsøgte at bruge den eksponerede server til cryptocurrency mining. Den 29. maj, cirka en uge efter, at eksperimentet var afsluttet, gik en angriber ind på Comparitechs honningpotte, slettede alle dummy-data og efterlod en løsepenge, der sagde, at hvis ejeren af databasen ikke betaler 0,6 BTC (tæt på $ 6.000), oplysningerne vil blive lækket eller solgt til cyberkriminelle.

Alt i alt viser Comparitechs eksperiment, at ud over at give let adgang til et væld af brugerinformation, kan en eksponeret database præsentere cyberkriminelle med en række andre muligheder for at tjene penge. Det beviser også, at skurkerne ikke holder sig væk fra at tage disse muligheder.