Database non garantiti vengono attaccati 18 volte al giorno

Come molti di voi sanno, al giorno d'oggi, la maggior parte delle perdite di dati si verificano non perché gli hacker violano la sicurezza delle organizzazioni, ma perché le stesse organizzazioni inseriscono le informazioni degli utenti in database e server non configurati correttamente. I ricercatori addetti alla sicurezza scoprono giorno dopo giorno database Elasticsearch scarsamente protetti e secchi di archiviazione Amazon S3 e hanno sempre fretta di informare l'organizzazione responsabile e risolvere il problema prima che i dati finiscano nelle mani sbagliate.

La cosa frustrante di tali scoperte è che il più delle volte, gli esperti non hanno modo di sapere se qualcuno con intenzioni criminali abbia effettivamente visto il database non protetto e abbia cancellato le informazioni al suo interno. Da un lato, ciò rende più difficile la valutazione del rischio e, dall'altro, fornisce all'organizzazione responsabile una scusa per minare l'errore e dire che le cose non sono poi così male.

Bob Diachenko, un esperto di sicurezza responsabile della scoperta di più di alcune perdite, ei suoi colleghi di Comparitech volevano scoprire con quale frequenza i criminali informatici attaccano server e database mal configurati. Per fare ciò, hanno creato un database Elasticsearch, lo hanno riempito di dati falsi e lo hanno lasciato deliberatamente esposto senza una password. Hanno quindi iniziato a registrare tutti i tentativi di accesso non autorizzati e si sono resi conto della gravità del rischio.

I criminali informatici sono costantemente alla ricerca di database esposti

Poco più di otto ore e mezza dopo l'installazione dell'honeypot, i ricercatori hanno registrato il primo tentativo di accesso non autorizzato. Nei dieci giorni successivi, il database Elasticsearch è stato attaccato 175 volte, una media di circa 18 attacchi al giorno. La maggior parte dell'attività proviene da IP negli Stati Uniti, in Cina e in Romania, sebbene, come hanno sottolineato i ricercatori, i criminali spesso usano i proxy per coprire le loro tracce, quindi questi dati non dovrebbero essere attendibili. La relazione degli esperti rileva inoltre che alcune delle domande potrebbero provenire da altri ricercatori sulla sicurezza che cercavano perdite di dati. Anche con questo in mente, i dati mostrano definitivamente che i criminali informatici sono a caccia attiva di database non configurati correttamente.

Ciò è stato dimostrato anche dal fatto che gli aggressori disponevano di propri strumenti di scansione specializzati che li hanno aiutati a localizzare l'honeypot di Comparitech ancor prima che fosse indicizzato da Shodan, il motore di ricerca che viene normalmente utilizzato per trovare questi database.

Non si trattava solo di dati

Se le informazioni nel database Elasticsearch fossero reali, Comparitech avrebbe avuto grossi problemi. Gli esperti hanno sottolineato, tuttavia, che non tutti gli attacchi miravano a rubare le informazioni personali delle persone. Un utente malintenzionato ha tentato di disabilitare il firewall del server, molto probabilmente in preparazione di un altro attacco. In altri casi, il team di Diachenko ha visto gli hacker sfruttare una vulnerabilità e tentare di rubare le password archiviate nel file / etc / passwd. Un terzo gruppo ha tentato di utilizzare il server esposto per il mining di criptovaluta. Il 29 maggio, circa una settimana dopo la conclusione dell'esperimento, un utente malintenzionato ha effettuato l'accesso all'honeypot di Comparitech, cancellato tutti i dati fittizi e lasciato una nota di riscatto dicendo che se il proprietario del database non paga 0,6 BTC (vicino a $ 6.000), le informazioni sarebbero trapelate o vendute ai criminali informatici.

Tutto sommato, l'esperimento di Comparitech mostra che oltre a fornire un facile accesso a molte informazioni sugli utenti, un database esposto può presentare ai criminali informatici una serie di altre opportunità di guadagno. Dimostra anche che i truffatori non eviteranno di cogliere queste opportunità.