Bancos de dados não seguros são atacados 18 vezes por dia

Atualmente, como muitos de vocês sabem, a maioria dos vazamentos de dados ocorre não porque os hackers violam a segurança das organizações, mas porque as próprias organizações colocam as informações do usuário em bancos de dados e servidores mal configurados. Pesquisadores de segurança descobrem bancos de dados Elasticsearch mal protegidos e buckets de armazenamento do Amazon S3 todos os dias, e eles estão sempre com pressa para informar a organização responsável e corrigir o problema antes que os dados terminem nas mãos erradas.

O mais frustrante dessas descobertas é que, na maioria das vezes, os especialistas não têm como saber se alguém com intenção criminosa realmente viu o banco de dados não seguro e raspou as informações nele contidas. Por um lado, isso dificulta a avaliação de riscos e, por outro, dá à organização responsável uma desculpa para minar o erro e dizer que as coisas não são tão ruins.

Bob Diachenko, especialista em segurança responsável pela descoberta de mais de alguns vazamentos, e seus colegas da Comparitech queriam descobrir com que frequência os cibercriminosos atacam servidores e bancos de dados mal configurados. Para fazer isso, eles criaram um banco de dados Elasticsearch, preencheram-no com dados falsos e o deixaram deliberadamente exposto sem uma senha. Eles então começaram a registrar todas as tentativas de acesso não autorizado e perceberam o quão sério é o risco.

Os cibercriminosos procuram constantemente bancos de dados expostos

Pouco mais de oito horas e meia após a instalação do honeypot, os pesquisadores registraram a primeira tentativa de acesso não autorizado. Nos dez dias seguintes, o banco de dados do Elasticsearch foi atacado 175 vezes, uma média de cerca de 18 ataques por dia. A maior parte da atividade veio de IPs nos EUA, China e Romênia, porém, como os pesquisadores apontaram, os criminosos costumam usar proxies para encobrir seus rastros, portanto, esses dados não devem ser confiáveis. O relatório dos especialistas também observa que algumas das consultas podem ter sido feitas por outros pesquisadores de segurança que estavam procurando por vazamentos de dados. Mesmo com isso em mente, os dados mostram definitivamente que os cibercriminosos estão em uma busca ativa por bancos de dados configurados incorretamente.

Isso também foi comprovado pelo fato de os invasores terem suas próprias ferramentas especializadas de verificação que os ajudaram a localizar o honeypot da Comparitech antes mesmo de ser indexado pelo Shodan, o mecanismo de pesquisa normalmente usado para encontrar esses bancos de dados.

Não era apenas sobre os dados

Se as informações no banco de dados do Elasticsearch fossem reais, a Comparitech estaria com um grande problema. Os especialistas apontaram, no entanto, que nem todos os ataques visavam roubar informações pessoais das pessoas. Um invasor tentou desativar o firewall do servidor, provavelmente em preparação para outro ataque. Em outros casos, a equipe de Diachenko viu hackers explorando uma vulnerabilidade e tentando roubar as senhas armazenadas no arquivo / etc / passwd. Um terceiro grupo tentou usar o servidor exposto para mineração de criptomoeda. Em 29 de maio, cerca de uma semana após a conclusão do experimento, um invasor acessou o honeypot da Comparitech, apagou todos os dados fictícios e deixou uma nota de resgate dizendo que, se o proprietário do banco de dados não pagar 0,6 BTC (quase US $ 6.000), as informações seriam vazadas ou vendidas para criminosos cibernéticos.

Em suma, o experimento da Comparitech mostra que, além de fornecer fácil acesso a uma tonelada de informações do usuário, um banco de dados exposto pode apresentar aos cibercriminosos uma série de outras oportunidades de ganhar dinheiro. Isso também prova que os bandidos não se esquivam de aproveitar essas oportunidades.