Niezabezpieczone bazy danych są atakowane 18 razy dziennie

Jak wielu z was wie, obecnie większość wycieków danych ma miejsce nie dlatego, że hakerzy przełamują bezpieczeństwo organizacji, ale dlatego, że same organizacje umieszczają informacje o użytkownikach w źle skonfigurowanych bazach danych i serwerach. Badacze bezpieczeństwa odkrywają słabo zabezpieczone bazy danych Elasticsearch i segmenty pamięci masowej Amazon S3 każdego dnia i zawsze spieszą się z informowaniem odpowiedzialnej organizacji i naprawieniem problemu, zanim dane trafią w niepowołane ręce.

Frustrujące w takich odkryciach jest to, że najczęściej eksperci nie mają możliwości dowiedzenia się, czy ktoś mający zamiary przestępcze rzeczywiście widział niezabezpieczoną bazę danych i zeskrobał zawarte w niej informacje. Z jednej strony utrudnia to ocenę ryzyka, az drugiej daje odpowiedzialnej organizacji pretekst do podważenia błędu i stwierdzenia, że nie jest tak źle.

Bob Diachenko, ekspert ds. Bezpieczeństwa odpowiedzialny za wykrycie ponad kilku wycieków, i jego koledzy z firmy Comparitech chcieli dowiedzieć się, jak często cyberprzestępcy atakują źle skonfigurowane serwery i bazy danych. Aby to zrobić, założyli bazę danych Elasticsearch, wypełnili ją fałszywymi danymi i celowo pozostawili bez dostępu do hasła. Następnie zaczęli rejestrować wszystkie nieautoryzowane próby dostępu i zdali sobie sprawę, jak poważne jest to ryzyko.

Cyberprzestępcy stale szukają odsłoniętych baz danych

Nieco ponad osiem i pół godziny po założeniu plastra miodu naukowcy zarejestrowali pierwszą próbę nieautoryzowanego dostępu. W ciągu następnych dziesięciu dni baza danych Elasticsearch została zaatakowana 175 razy, średnio około 18 ataków dziennie. Większość działań pochodziła z adresów IP w USA, Chinach i Rumunii, jednak, jak zauważyli naukowcy, przestępcy często używają serwerów proxy do zakrycia swoich śladów, więc nie należy ufać tym danym. W raporcie ekspertów zauważono również, że niektóre zapytania mogły pochodzić od innych badaczy bezpieczeństwa, którzy szukali wycieków danych. Nawet mając to na uwadze, dane ostatecznie pokazują, że cyberprzestępcy prowadzą aktywne polowanie na źle skonfigurowane bazy danych.

Zostało to również udowodnione przez fakt, że osoby atakujące miały własne specjalistyczne narzędzia do skanowania, które pomogły im zlokalizować honeypot firmy Comparitech jeszcze przed zaindeksowaniem go przez Shodan, wyszukiwarkę zwykle używaną do wyszukiwania tych baz danych.

Nie chodziło tylko o dane

Gdyby informacje w bazie danych Elasticsearch były prawdziwe, Comparitech miałby poważne kłopoty. Eksperci zwrócili jednak uwagę, że nie wszystkie ataki miały na celu kradzież danych osobowych ludzi. Jeden z atakujących próbował wyłączyć zaporę ogniową serwera, najprawdopodobniej w ramach przygotowań do kolejnego ataku. W innych przypadkach zespół Diachenko widział hakerów wykorzystujących lukę i próbujących ukraść hasła przechowywane w pliku / etc / passwd. Trzecia grupa próbowała wykorzystać udostępniony serwer do wydobywania kryptowalut. W dniu 29 maja, około tygodnia po zakończeniu eksperymentu, atakujący uzyskał dostęp do plastra miodu w firmie Comparitech, usunął wszystkie fikcyjne dane i zostawił notatkę z żądaniem okupu, mówiąc, że jeśli właściciel bazy danych nie zapłaci 0,6 BTC (blisko 6000 USD), informacje byłyby wyciekane lub sprzedawane cyberprzestępcom.

Podsumowując, eksperyment Comparitech pokazuje, że oprócz zapewnienia łatwego dostępu do mnóstwa informacji o użytkownikach, ujawniona baza danych może zaoferować cyberprzestępcom szereg innych możliwości zarabiania pieniędzy. Dowodzi również, że oszuści nie będą się wahać przed skorzystaniem z tych możliwości.