Neapsaugotos duomenų bazės puolamos 18 kartų per dieną

Kaip daugelis iš jūsų žinote, šiais laikais didžioji dalis duomenų nutekėjimo nutinka ne todėl, kad įsilaužėliai įsilaužė į organizacijų saugumą, bet todėl, kad pačios organizacijos pateikia informaciją vartotojui netinkamai sukonfigūruotose duomenų bazėse ir serveriuose. Saugumo tyrėjai dieną iš dienos randa prastai apsaugotas „Elasticsearch“ duomenų bazes ir „Amazon S3“ saugojimo kaušus. Jie visada skuba informuoti atsakingą organizaciją ir išspręsti problemą, kol duomenys nepatenka į netinkamas rankas.

Gąsdinantis tokių atradimų faktas yra tas, kad dažniausiai ekspertai neturi galimybės žinoti, ar kas nors, turintis nusikalstamų ketinimų, iš tikrųjų matė neužtikrintą duomenų bazę ir išgrobė joje esančią informaciją. Viena vertus, tai apsunkina rizikos vertinimą, kita vertus, atsakingai organizacijai suteikia pasiteisinimą pakenkti klaidai ir pasakyti, kad viskas nėra taip blogai.

Bobas Diachenko, saugumo ekspertas, atsakingas už daugiau nei kelių nutekėjimų atradimą, ir jo kolegos iš „Comparitech“ norėjo išsiaiškinti, kaip dažnai kibernetiniai nusikaltėliai puola prastai sukonfigūruotus serverius ir duomenų bazes. Norėdami tai padaryti, jie sukūrė „Elasticsearch“ duomenų bazę, užpildė ją suklastotais duomenimis ir sąmoningai paliko ją be slaptažodžio. Tada jie pradėjo registruoti visus neteisėtos prieigos bandymus ir suprato, kokia rizika yra rimta.

Kibernetiniai nusikaltėliai nuolatos ieško atskleistų duomenų bazių

Praėjus šiek tiek daugiau nei aštuonioms su puse valandos po medaus puodo nustatymą, tyrėjai užregistravo pirmąjį bandymą patekti be leidimo. Per kitas dešimt dienų „Elasticsearch“ duomenų bazė buvo užpulta 175 kartus, vidutiniškai apie 18 išpuolių per dieną. Didžioji dalis veiklos atėjo iš intelektinės nuosavybės teisių JAV, Kinijoje ir Rumunijoje, tačiau, kaip pabrėžė tyrėjai, nusikaltėliai dažnai naudoja įgaliotinius, kad apimtų savo keliones, todėl šiais duomenimis neturėtų būti pasitikima. Ekspertų ataskaitoje taip pat pažymima, kad kai kuriuos klausimus galėjo pateikti kiti saugumo tyrinėtojai, kurie ieškojo duomenų nutekėjimo. Net turint tai omenyje, duomenys neabejotinai rodo, kad kibernetiniai nusikaltėliai aktyviai medžioja neteisingai sukonfigūruotas duomenų bazes.

Tai įrodė ir faktas, kad užpuolikai turėjo savo specializuotus nuskaitymo įrankius, kurie padėjo jiems surasti „Comparitech“ meduolį net iki tol, kol jį indeksavo „Shodan“ - paieškos variklis, kuris paprastai naudojamas šioms duomenų bazėms rasti.

Tai buvo susiję ne tik su duomenimis

Jei „Elasticsearch“ duomenų bazėje esanti informacija būtų tikra, „Comparitech“ būtų turėjusi didelių problemų. Tačiau ekspertai atkreipė dėmesį, kad ne visų išpuolių tikslas buvo pavogti žmonių asmeninę informaciją. Vienas užpuolikas bandė išjungti serverio užkardą, greičiausiai ruošdamasis kitai atakai. Kitais atvejais Diachenko komanda matė įsilaužėlius, kurie išnaudojo pažeidžiamumą ir bandė pavogti slaptažodžius, saugomus faile / etc / passwd. Trečioji grupė bandė naudoti saugomą serverį kriptovaliutų gavybai. Gegužės 29 d., Praėjus maždaug savaitei po eksperimento pabaigos, užpuolikas prisijungė prie „Comparitech“ medaus, ištrynė visus manekeno duomenis ir paliko išpirkos raštelį, sakydamas, kad jei duomenų bazės savininkas nesumokės 0,6 BTC (beveik 6000 USD), informacija būtų nutekėjusi arba parduota elektroniniams nusikaltėliams.

Apskritai, „Comparitech“ eksperimentas rodo, kad ne tik lengvai prieinama daugybė informacijos apie vartotoją, bet ir atskleista duomenų bazė elektroniniams nusikaltėliams gali suteikti daugybę kitų galimybių užsidirbti pinigų. Tai taip pat įrodo, kad sukčiai nevengs pasinaudoti šiomis galimybėmis.