A nem biztonságos adatbázisokat támadják meg napi 18 alkalommal

Mint sokan tudják, manapság az adatok szivárgása nem azért történik, mert a hackerek áttörik a szervezetek biztonságát, hanem azért, mert a szervezetek maguk a felhasználói információkat tévesen konfigurált adatbázisokba és kiszolgálókba helyezik. A biztonsági kutatók napról napra fedezik fel a gyengén biztonságos Elasticsearch adatbázisokat és az Amazon S3 tároló vödröket, és mindig sietnek, hogy tájékoztassák a felelős szervezetet és kijavítsák a problémát, mielőtt az adatok rossz kezekbe kerülnének.

Az ilyen felfedezések frusztráló tényezője az, hogy a szakértőknek általában nem tudják tudni, vajon bűnügyi szándékkal rendelkező személyek valóban látják-e a nem biztonságos adatbázist, és megkaparják az abban található információkat. Egyrészt ez megnehezíti a kockázatértékelést, másrészt ürügyévé teszi a felelős szervezetet, hogy aláássák a hibát, és azt mondják, hogy a dolgok nem olyan rosszak.

Bob Diachenko, a több szivárgás felfedezéséért felelős biztonsági szakértő és a Comparitech kollégái azt akarták megtudni, hogy a számítógépes bűnözők milyen gyakran támadnak meg rosszul konfigurált szerverek és adatbázisok ellen. Ehhez létrehoztak egy Elasticsearch adatbázist, megtöltötték hamis adatokkal, és szándékosan jelszó nélkül hagyták kitéve. Ezután elkezdték minden jogosulatlan hozzáférési kísérlet rögzítését, és rájöttek, mennyire súlyos a kockázat.

A számítógépes bűnözők folyamatosan kutatott adatbázisokat keresnek

Alig több mint nyolc és fél órával a mézkanna felállítása után a kutatók regisztrálták az első jogosulatlan hozzáférési kísérletet. A következő tíz napban az Elasticsearch adatbázist 175 alkalommal támadták meg, átlagosan napi 18 támadást. A tevékenység nagy részét az Egyesült Államokban, Kínában és Romániában a szellemi tulajdonban vették, bár - amint a kutatók rámutattak - a bűnözők gyakran proxykat használnak nyomkövetésükhöz, ezért ezeket az adatokat nem szabad megbízni. A szakértői jelentés azt is megjegyzi, hogy néhány kérdés más biztonsági kutatóktól származhatott, akik adatszivárgást kerestek. Még ezt szem előtt tartva, az adatok egyértelműen azt mutatják, hogy a számítógépes bűnözők aktívan vadásznak tévesen konfigurált adatbázisokra.

Ezt azt is bizonyítja az a tény, hogy a támadóknak megvannak a saját speciális szkennelő eszközei, amelyek segítettek nekik megtalálni a Comparitech mézeskalácsát, még mielőtt azt Shodan, a keresőmotor indexelte volna, amelyet általában használnak ezen adatbázisok keresésére.

Nem csak az adatokról volt szó

Ha az Elasticsearch adatbázis valós adatai lennének, a Comparitechnek nagy bajban kellett volna lennie. A szakértők azonban rámutattak, hogy nem minden támadás célja az emberek személyes adatainak lopása. Az egyik támadó megpróbálta letiltani a szerver tűzfalát, valószínűleg egy másik támadás előkészítéseként. Más esetekben a Diachenko csapata a hackereket kihasználva egy sebezhetőséget és megpróbálta ellopni az / etc / passwd fájlban tárolt jelszavakat. Egy harmadik csoport megpróbálta használni az exponált szervert kriptovaluta bányászathoz. Körülbelül egy héttel a kísérlet befejezése után május 29-én a támadó hozzáférést kapott a Comparitech mézeskanáljához, törölte az összes dummy adatot, és váltságdíjat hagyott arról, hogy ha az adatbázis tulajdonosa nem fizet 0,6 BTC-t (közel 6000 USD), az információ kiszivárog, vagy eladásra kerül a számítógépes bűnözők számára.

Összességében a Comparitech kísérlete azt mutatja, hogy amellett, hogy könnyű hozzáférést biztosít egy csomó felhasználói információhoz, egy feltárt adatbázis a számítógépes bűnözőket számos más pénzkeresési lehetőséggel is bemutathatja. Ez azt is bizonyítja, hogy a csalók nem kerülnek el e lehetőségek megragadásától.