Las bases de datos no seguras son atacadas 18 veces al día
Como muchos de ustedes saben, hoy en día, la mayoría de las filtraciones de datos ocurren no porque los piratas informáticos rompen la seguridad de las organizaciones, sino porque las propias organizaciones ponen la información del usuario en bases de datos y servidores mal configurados. Los investigadores de seguridad descubren bases de datos Elasticsearch mal protegidas y depósitos de almacenamiento de Amazon S3 día tras día, y siempre tienen prisa por informar a la organización responsable y solucionar el problema antes de que los datos terminen en las manos equivocadas.
Lo frustrante de tales descubrimientos es que la mayoría de las veces, los expertos no tienen forma de saber si alguien con intenciones criminales ha visto la base de datos no segura y ha recopilado la información que contiene. Por un lado, esto dificulta la evaluación de riesgos y, por otro, le da a la organización responsable una excusa para socavar el error y decir que las cosas no son tan malas.
Bob Diachenko, un experto en seguridad responsable del descubrimiento de más de unas pocas fugas, y sus colegas de Comparitech querían averiguar con qué frecuencia los ciberdelincuentes atacan servidores y bases de datos mal configurados. Para hacer eso, configuraron una base de datos Elasticsearch, la llenaron con datos falsos y la dejaron expuesta deliberadamente sin contraseña. Luego comenzaron a registrar todos los intentos de acceso no autorizados, y se dieron cuenta de la gravedad del riesgo.
Los ciberdelincuentes buscan constantemente bases de datos expuestas
Poco más de ocho horas y media después de configurar el honeypot, los investigadores registraron el primer intento de acceso no autorizado. Durante los siguientes diez días, la base de datos Elasticsearch fue atacada 175 veces, un promedio de alrededor de 18 ataques por día. La mayor parte de la actividad provino de IP en los EE. UU., China y Rumania, sin embargo, como señalaron los investigadores, los delincuentes a menudo usan poderes para cubrir sus huellas, por lo que no se debe confiar en estos datos. El informe de los expertos también señala que algunas de las consultas podrían provenir de otros investigadores de seguridad que estaban buscando filtraciones de datos. Incluso con esto en mente, los datos muestran definitivamente que los cibercriminales están en una búsqueda activa de bases de datos mal configuradas.
Esto también se demostró por el hecho de que los atacantes tenían sus propias herramientas especializadas de escaneo que les ayudaban a localizar el honeypot de Comparitech incluso antes de que Shodan, el motor de búsqueda que normalmente se usa para encontrar estas bases de datos, lo indexara.
No se trataba solo de los datos
Si la información en la base de datos de Elasticsearch fuera real, Comparitech habría tenido grandes problemas. Los expertos señalaron, sin embargo, que no todos los ataques estaban destinados a robar información personal de las personas. Un atacante intentó deshabilitar el firewall del servidor, muy probablemente en preparación para otro ataque. En otros casos, el equipo de Diachenko vio piratas informáticos que explotaban una vulnerabilidad e intentaban robar las contraseñas almacenadas en el archivo / etc / passwd. Un tercer grupo intentó usar el servidor expuesto para la minería de criptomonedas. El 29 de mayo, aproximadamente una semana después de la conclusión del experimento, un atacante accedió al honeypot de Comparitech, borró todos los datos ficticios y dejó una nota de rescate que decía que si el propietario de la base de datos no paga 0.6 BTC (cerca de $ 6,000), la información se filtraría o se vendería a los cibercriminales.
Con todo, el experimento de Comparitech muestra que, además de proporcionar un fácil acceso a una tonelada de información del usuario, una base de datos expuesta puede presentar a los ciberdelincuentes una serie de otras oportunidades para ganar dinero. También demuestra que los delincuentes no evitarán aprovechar estas oportunidades.