Onbeveiligde databases worden 18 keer per dag aangevallen

Zoals velen van jullie weten, gebeuren de meeste datalekken tegenwoordig niet omdat hackers de beveiliging van organisaties doorbreken, maar omdat de organisaties zelf gebruikersinformatie in verkeerd geconfigureerde databases en servers plaatsen. Beveiligingsonderzoekers ontdekken dag in dag uit slecht beveiligde Elasticsearch-databases en Amazon S3-opslagemmers, en ze hebben altijd haast om de verantwoordelijke organisatie te informeren en het probleem op te lossen voordat de gegevens in verkeerde handen terechtkomen.

Het frustrerende aan dergelijke ontdekkingen is dat de experts vaker niet weten of iemand met criminele bedoelingen de onbeveiligde database daadwerkelijk heeft gezien en de informatie erin heeft weggeschraapt. Dit maakt enerzijds risicobeoordeling moeilijker en anderzijds geeft het de verantwoordelijke organisatie een excuus om de fout te ondermijnen en te zeggen dat het niet zo erg is.

Bob Diachenko, een beveiligingsexpert die verantwoordelijk is voor de ontdekking van meer dan een paar lekken, en zijn collega's van Comparitech wilden weten hoe vaak cybercriminelen slecht geconfigureerde servers en databases aanvallen. Om dat te doen, hebben ze een Elasticsearch-database opgezet, deze gevuld met nepgegevens en deze opzettelijk zonder wachtwoord opengelaten. Vervolgens begonnen ze alle ongeautoriseerde toegangspogingen vast te leggen en realiseerden ze zich hoe ernstig het risico is.

Cybercriminelen zijn constant op zoek naar blootgestelde databases

Iets meer dan acht en een half uur na het opzetten van de honeypot registreerden de onderzoekers de eerste poging tot onbevoegde toegang. De Elasticsearch-database werd de komende tien dagen 175 keer aangevallen, gemiddeld ongeveer 18 aanvallen per dag. De meeste activiteiten waren afkomstig van IP's in de VS, China en Roemenië, maar, zoals de onderzoekers opmerkten, criminelen gebruiken vaak proxy's om hun sporen uit te wissen, dus deze gegevens mogen niet worden vertrouwd. Het deskundigenrapport merkt ook op dat sommige vragen mogelijk afkomstig zijn van andere beveiligingsonderzoekers die op zoek waren naar datalekken. Zelfs met dit in gedachten, laten de gegevens definitief zien dat de cybercriminelen op jacht zijn naar verkeerd geconfigureerde databases.

Dit werd ook bewezen door het feit dat de aanvallers hun eigen gespecialiseerde scantools hadden waarmee ze Comparitech's honeypot konden lokaliseren nog voordat deze werd geïndexeerd door Shodan, de zoekmachine die normaal gesproken wordt gebruikt om deze databases te vinden.

Het ging niet alleen om de gegevens

Als de informatie in de Elasticsearch-database echt was, zou Comparitech grote problemen hebben gehad. De experts wezen er echter op dat niet alle aanvallen gericht waren op het stelen van persoonlijke informatie van mensen. Eén aanvaller probeerde de firewall van de server uit te schakelen, hoogstwaarschijnlijk ter voorbereiding op een nieuwe aanval. In andere gevallen zag het team van Diachenko dat hackers een kwetsbaarheid misbruikten en probeerden de wachtwoorden te stelen die waren opgeslagen in het / etc / passwd-bestand. Een derde groep probeerde de blootgestelde server te gebruiken voor het minen van cryptocurrency. Op 29 mei, ongeveer een week nadat het experiment was afgerond, had een aanvaller toegang tot de honeypot van Comparitech, alle dummy-gegevens gewist en een losgeldbrief achtergelaten waarin stond dat als de eigenaar van de database geen 0,6 BTC betaalt (bijna $ 6000), de informatie zou worden gelekt of verkocht aan cybercriminelen.

Al met al laat het experiment van Comparitech zien dat een blootgestelde database naast gemakkelijke toegang tot een heleboel gebruikersinformatie, cybercriminelen een aantal andere mogelijkheden biedt om geld te verdienen. Het bewijst ook dat de boeven deze kansen niet zullen schuwen.