Usikrede databaser blir angrepet 18 ganger om dagen

Som mange av dere vet, for tiden skjer de fleste datalekkasjer ikke fordi hackere bryter gjennom sikkerheten til organisasjoner, men fordi organisasjonene selv legger brukerinformasjon i feilkonfigurerte databaser og servere. Sikkerhetsforskere oppdager dårlig sikrede Elasticsearch-databaser og Amazon S3-lagringsbøtter dag inn, dag ut, og de har alltid et travelt med å informere den ansvarlige organisasjonen og fikse problemet før dataene havner i gale hender.

Det frustrerende ved slike funn er at ekspertene oftere enn ikke har noen måte å vite om noen med kriminell hensikt faktisk har sett den usikrede databasen og skrapet informasjonen inni den. På den ene siden gjør dette risikovurderingen vanskeligere, og på den andre gir det den ansvarlige organisasjonen en unnskyldning for å undergrave feilen og si at ting ikke er så ille.

Bob Diachenko, en sikkerhetsekspert som var ansvarlig for oppdagelsen av mer enn noen få lekkasjer, og kollegene hans fra Comparitech ønsket å finne ut hvor ofte nettkriminelle angriper dårlig konfigurerte servere og databaser. For å gjøre det, satte de opp en Elasticsearch-database, fylte den med falske data og lot den bevisst bli eksponert uten passord. De begynte deretter å registrere alle uautoriserte tilgangsforsøk, og de skjønte hvor alvorlig risikoen er.

Cyberkriminelle leter stadig etter eksponerte databaser

Drøyt åtte og en halv time etter at hun satt opp honningpinnen, registrerte forskerne det første uautoriserte tilgangsforsøket. I løpet av de neste ti dagene ble Elasticsearch-databasen angrepet 175 ganger, i gjennomsnitt rundt 18 angrep per dag. Mesteparten av aktiviteten kom fra IP-er i USA, Kina og Romania, men som forskerne påpekte, bruker kriminelle ofte fullmektiger for å dekke sporene sine, så disse dataene bør ikke stole på. Ekspertenes rapport bemerker også at noen av spørsmålene kan ha kommet fra andre sikkerhetsforskere som var på jakt etter datalekkasjer. Selv med dette i bakhodet viser dataene definitivt at nettkriminelle er på jakt etter feilkonfigurerte databaser.

Dette ble også bevist av det faktum at angriperne hadde sine egne spesialiserte skanneverktøy som hjalp dem med å finne Comparitech sin honeypot allerede før den ble indeksert av Shodan, søkemotoren som vanligvis brukes til å finne disse databasene.

Det handlet ikke bare om dataene

Hvis informasjonen i Elasticsearch-databasen var ekte, ville Comparitech vært i store problemer. Ekspertene påpekte imidlertid at ikke alle angrep var rettet mot å stjele folks personlige informasjon. En angriper prøvde å deaktivere serverens brannmur, mest sannsynlig som forberedelse til et annet angrep. I andre tilfeller så teamet fra Diachenko til at hackere utnyttet en sårbarhet og forsøkte å stjele passordene som er lagret i / etc / passwd-filen. En tredje gruppe prøvde å bruke den utsatte serveren for gruvedrift av cryptocurrency. 29. mai, omtrent en uke etter at eksperimentet hadde avsluttet, fikk en angriper tilgang til Comparitechs honningpott, slettet alle dummy-dataene og etterlot seg en løsepenger som sa at hvis eieren av databasen ikke betaler 0,6 BTC (nær 6 000 dollar), informasjonen vil bli lekket eller solgt til nettkriminelle.

Alt i alt viser Comparitechs eksperiment at i tillegg til å gi enkel tilgang til massevis av brukerinformasjon, kan en eksponert database presentere cyberkriminelle med en rekke andre muligheter for å tjene penger. Det beviser også at kjeltringene ikke vil vike seg fra å ta disse mulighetene.