Необеспеченные базы данных подвергаются атакам 18 раз в день

Как многие из вас знают, в настоящее время большинство утечек данных происходит не потому, что хакеры нарушают безопасность организаций, а потому, что сами организации помещают пользовательскую информацию в неправильно сконфигурированные базы данных и серверы. Изо дня в день исследователи в области безопасности обнаруживают плохо защищенные базы данных Elasticsearch и хранилища Amazon S3, и они всегда спешат сообщить ответственной организации и устранить проблему, прежде чем данные попадут в чужие руки.

Разочарование в таких открытиях заключается в том, что чаще всего эксперты не имеют возможности узнать, действительно ли кто-либо с преступным умыслом видел незащищенную базу данных и удалил информацию из нее. С одной стороны, это усложняет оценку рисков, а с другой - дает ответственной организации повод подорвать ошибку и сказать, что все не так уж плохо.

Боб Дьяченко, эксперт по безопасности, ответственный за обнаружение более чем нескольких утечек, и его коллеги из Comparitech хотели выяснить, как часто киберпреступники атакуют плохо настроенные серверы и базы данных. Для этого они создали базу данных Elasticsearch, наполнили ее поддельными данными и сознательно оставили ее открытой без пароля. Затем они начали записывать все попытки несанкционированного доступа и поняли, насколько серьезен риск.

Киберпреступники постоянно ищут открытые базы данных

Через восемь с половиной часов после установки приманки исследователи зарегистрировали первую попытку несанкционированного доступа. В течение следующих десяти дней база данных Elasticsearch подвергалась атакам 175 раз, в среднем около 18 атак в день. Большая часть активности исходила от IP-адресов в США, Китае и Румынии, хотя, как отмечают исследователи, преступники часто используют прокси-серверы, чтобы скрыть свои следы, поэтому этим данным нельзя доверять. В отчете экспертов также отмечается, что некоторые запросы могли поступать от других исследователей безопасности, которые искали утечки данных. Даже с учетом этого данные окончательно показывают, что киберпреступники активно ищут неправильно настроенные базы данных.

Это также было подтверждено тем фактом, что у злоумышленников были свои собственные специализированные инструменты сканирования, которые помогли им найти приманку Comparitech еще до того, как она была проиндексирована Shodan, поисковой системой, которая обычно используется для поиска этих баз данных.

Это было не только о данных

Если бы информация в базе данных Elasticsearch была реальной, у Comparitech были бы большие проблемы. Однако эксперты отметили, что не все атаки были направлены на кражу личной информации людей. Один злоумышленник попытался отключить брандмауэр сервера, скорее всего, при подготовке к другой атаке. В других случаях команда Дьяченко видела, как хакеры использовали уязвимость и пытались украсть пароли, хранящиеся в файле / etc / passwd. Третья группа пыталась использовать открытый сервер для майнинга криптовалюты. 29 мая, примерно через неделю после завершения эксперимента, злоумышленник получил доступ к приманке Comparitech, удалил все фиктивные данные и оставил выкуп, сообщив, что если владелец базы данных не заплатит 0,6 BTC (около 6000 долларов), информация будет утечка или продана киберпреступникам.

В целом, эксперимент Comparitech показывает, что помимо предоставления легкого доступа к тонне пользовательской информации, открытая база данных может предоставить киберпреступникам ряд других возможностей для заработка. Это также доказывает, что мошенники не будут уклоняться от использования этих возможностей.