安全でないデータベースは1日に18回攻撃される
ご存じのように、今日のデータ漏洩の大部分は、ハッカーが組織のセキュリティを突破したためではなく、組織自体がユーザーと情報を誤って構成されたデータベースとサーバーに配置したために発生しています。セキュリティ研究者は、安全性の低いElasticsearchデータベースとAmazon S3ストレージバケットを日々発見し、データが悪用される前に、責任組織に常に通知し、問題を修正しています。
そのような発見についての苛立たしいことは、多くの場合、専門家は犯罪目的で誰かが実際に安全でないデータベースを見て、その中の情報をこすったかどうか知る方法がないということです。これは一方でリスク評価をより困難にし、他方でそれは責任ある組織に間違いを弱体化させ、物事はそれほど悪いものではないと言う言い訳を与えます。
数件以上のリークの発見を担当するセキュリティ専門家であるボブディアチェンコと、Comparitechの彼の同僚は、サイバー犯罪者が適切に構成されていないサーバーやデータベースを攻撃する頻度を知りたがっていました。そのために、Elasticsearchデータベースをセットアップし、偽のデータを入力して、意図的にパスワードなしで公開しました。次に、すべての不正アクセスの試みの記録を開始し、リスクがどれほど深刻であるかを認識しました。
サイバー犯罪者は常に公開されたデータベースを探しています
ハニーポットのセットアップからわずか8時間半後、研究者たちは最初の不正アクセスの試みを登録しました。次の10日間で、Elasticsearchデータベースは175回攻撃され、1日あたり平均で約18回攻撃されました。活動のほとんどは米国、中国、ルーマニアのIPからのものでしたが、研究者が指摘したように、犯罪者はしばしばプロキシを使用して追跡しているため、このデータは信頼できません。 専門家のレポートはまた、クエリの一部は、データ漏洩を探していた他のセキュリティ研究者から来た可能性があることを指摘しています。これを念頭に置いてさえ、データは間違いなくサイバー犯罪者が誤って構成されたデータベースを探していることを示しています。
これは、通常これらのデータベースを検索するために使用される検索エンジンであるShodanによってインデックスが作成される前でも、攻撃者がComparitechのハニーポットを見つけるのに役立つ独自の専用スキャンツールを使用していたことによっても証明されました
データだけではなかった
Elasticsearchデータベースの情報が本物なら、Comparitechは大きな問題を抱えていただろう。しかし専門家は、すべての攻撃が人々の個人情報を盗むことを目的としているわけではないと指摘した。攻撃者の1人がサーバーのファイアウォールを無効にしようとしました。おそらく別の攻撃に備えてです。他のケースでは、ディアチェンコのチームは、ハッカーが脆弱性を悪用し、/ etc / passwdファイルに保存されているパスワードを盗もうとするのを見ました。 3番目のグループは、公開されたサーバーを暗号通貨マイニングに使用しようとしました。実験が終了してから約1週間後の5月29日、攻撃者はComparitechのハニーポットにアクセスしてすべてのダミーデータを消去し、身代金のメモを残して、データベースの所有者が0.6 BTC(6,000ドル近く)を支払わない場合、情報が漏えいしたり、サイバー犯罪者に売られたりします。
全体として、Comparitechの実験は、大量のユーザー情報への容易なアクセスを提供することに加えて、公開されたデータベースがサイバー犯罪者に他の多くの金儲けの機会を提供できることを示しています。また、詐欺師がこれらの機会を逃がさないことも証明しています。