Ungesicherte Datenbanken werden 18 Mal am Tag angegriffen
Wie viele von Ihnen wissen, treten heutzutage die meisten Datenlecks nicht auf, weil Hacker die Sicherheit von Organisationen durchbrechen, sondern weil die Organisationen selbst Benutzerinformationen in falsch konfigurierten Datenbanken und Servern ablegen. Sicherheitsforscher entdecken Tag für Tag schlecht gesicherte Elasticsearch-Datenbanken und Amazon S3-Speicher-Buckets und haben es immer eilig, die zuständige Organisation zu informieren und das Problem zu beheben, bevor die Daten in die falschen Hände gelangen.
Das Frustrierende an solchen Entdeckungen ist, dass die Experten häufig nicht wissen können, ob jemand mit krimineller Absicht die ungesicherte Datenbank tatsächlich gesehen und die darin enthaltenen Informationen abgekratzt hat. Dies erschwert einerseits die Risikobewertung und andererseits gibt es der verantwortlichen Organisation eine Entschuldigung, um den Fehler zu untergraben und zu sagen, dass die Dinge nicht so schlimm sind.
Bob Diachenko, ein Sicherheitsexperte, der für die Entdeckung von mehr als ein paar Lecks verantwortlich ist, und seine Kollegen von Comparitech wollten herausfinden, wie oft Cyberkriminelle schlecht konfigurierte Server und Datenbanken angreifen. Zu diesem Zweck richteten sie eine Elasticsearch-Datenbank ein, füllten sie mit gefälschten Daten und ließen sie absichtlich ohne Kennwort offen. Anschließend zeichneten sie alle nicht autorisierten Zugriffsversuche auf und erkannten, wie ernst das Risiko ist.
Cyberkriminelle suchen ständig nach exponierten Datenbanken
Etwas mehr als achteinhalb Stunden nach dem Aufstellen des Honigtopfs registrierten die Forscher den ersten unbefugten Zugriffsversuch. In den nächsten zehn Tagen wurde die Elasticsearch-Datenbank 175 Mal angegriffen, durchschnittlich 18 Angriffe pro Tag. Der größte Teil der Aktivitäten stammte von geistigen Eigentumsrechten in den USA, China und Rumänien. Wie die Forscher jedoch betonten, verwenden Kriminelle häufig Proxys, um ihre Spuren zu verwischen, weshalb diesen Daten nicht vertraut werden sollte. In dem Expertenbericht wird auch darauf hingewiesen, dass einige der Anfragen möglicherweise von anderen Sicherheitsforschern stammen, die nach Datenlecks suchten. Trotzdem zeigen die Daten definitiv, dass die Cyberkriminellen aktiv auf der Suche nach falsch konfigurierten Datenbanken sind.
Dies wurde auch durch die Tatsache bewiesen, dass die Angreifer über eigene spezielle Scan-Tools verfügten, mit denen sie den Honeypot von Comparitech lokalisieren konnten, noch bevor er von Shodan, der Suchmaschine, die normalerweise zum Auffinden dieser Datenbanken verwendet wird, indiziert wurde.
Es ging nicht nur um die Daten
Wenn die Informationen in der Elasticsearch-Datenbank echt wären, hätte Comparitech große Probleme gehabt. Die Experten wiesen jedoch darauf hin, dass nicht alle Angriffe darauf abzielten, die persönlichen Daten der Menschen zu stehlen. Ein Angreifer hat versucht, die Firewall des Servers zu deaktivieren, höchstwahrscheinlich zur Vorbereitung eines weiteren Angriffs. In anderen Fällen sah das Team von Diachenko, wie Hacker eine Sicherheitsanfälligkeit ausnutzten und versuchten, die in der Datei / etc / passwd gespeicherten Passwörter zu stehlen. Eine dritte Gruppe versuchte, den exponierten Server für das Cryptocurrency Mining zu verwenden. Am 29. Mai, ungefähr eine Woche nach Abschluss des Experiments, griff ein Angreifer auf den Honeypot von Comparitech zu, löschte alle Dummy-Daten und hinterließ einen Lösegeldschein, der besagt, dass der Eigentümer der Datenbank nicht 0,6 BTC (fast 6.000 US-Dollar) zahlt. Die Informationen würden durchgesickert oder an Cyberkriminelle verkauft.
Alles in allem zeigt das Experiment von Comparitech, dass eine exponierte Datenbank nicht nur den einfachen Zugriff auf eine Vielzahl von Benutzerinformationen ermöglicht, sondern auch Cyberkriminellen eine Reihe anderer Möglichkeiten bietet, Geld zu verdienen. Es zeigt auch, dass die Gauner diese Gelegenheiten nicht scheuen werden.