Osäkrade databaser attackeras 18 gånger om dagen

Som många av er vet, för närvarande sker majoriteten av dataläckage inte för att hackare bryter igenom säkerheten för organisationer, utan för att organisationerna själva lägger användarinformation i felkonfigurerade databaser och servrar. Säkerhetsforskare upptäcker dåligt säkrade Elasticsearch-databaser och Amazon S3-lagringsskopor dag in, dag ut, och de har alltid bråttom för att informera den ansvariga organisationen och fixa problemet innan uppgifterna hamnar i fel händer.

Det frustrerande med sådana upptäckter är att experterna ofta än inte har något sätt att veta om någon med kriminell avsikt verkligen har sett den osäkrade databasen och skrapat informationen inuti den. Å ena sidan gör detta riskbedömningen svårare, och å andra sidan ger det den ansvariga organisationen en ursäkt för att undergräva misstaget och säga att saker inte är så illa.

Bob Diachenko, en säkerhetsekspert som ansvarar för upptäckten av mer än några läckor, och hans kollegor från Comparitech ville ta reda på hur ofta cyberbrottslingar attackerar dåligt konfigurerade servrar och databaser. För att göra det upprättade de en Elasticsearch-databas, fyllde den med falska data och lämnade den medvetet exponerad utan lösenord. De började sedan spela in alla obehöriga åtkomstförsök, och de insåg hur allvarlig risken är.

Cybercriminals letar ständigt efter exponerade databaser

Drygt åtta och en halv timme efter att hon hade satt upp honypoten registrerade forskarna det första obehöriga åtkomstförsöket. Under de kommande tio dagarna attackerades Elasticsearch-databasen 175 gånger, i genomsnitt cirka 18 attacker per dag. Merparten av aktiviteten kom från IP: er i USA, Kina och Rumänien, men som forskarna påpekade använder brottslingar ofta proxyer för att täcka sina spår, så denna information bör inte lita på. Experternas rapport konstaterar också att en del av frågorna kan ha kommit från andra säkerhetsforskare som letade efter dataläckage. Även med tanke på detta visar uppgifterna definitivt att cyberbrottslingarna är på jakt efter felkonfigurerade databaser.

Detta bevisades också av det faktum att angriparna hade sina egna specialiserade skannverktyg som hjälpte dem att hitta Comparitechs honeypot redan innan det indexerades av Shodan, sökmotorn som normalt används för att hitta dessa databaser.

Det handlade inte bara om uppgifterna

Om informationen i Elasticsearch-databasen var verklig, skulle Comparitech ha varit i stora problem. Experterna påpekade dock att inte alla attacker syftade till att stjäla människors personliga information. En angripare försökte inaktivera serverns brandvägg, troligen som förberedelse för en annan attack. I andra fall såg Diachenko's team hackare utnyttja en sårbarhet och försökte stjäla lösenorden lagrade i filen / etc / passwd. En tredje grupp försökte använda den exponerade servern för cryptocurrency gruvdrift. Den 29 maj, ungefär en vecka efter det att experimentet hade avslutats, fick en angripare tillgång till Comparitechs honeypot, raderade all dummy-data och lämnade en lösningsmeddelande som säger att om databasägaren inte betalar 0,6 BTC (nära 6 000 USD), informationen skulle läcka ut eller säljas till cyberbrottslingar.

Sammantaget visar Comparitechs experiment att en exponerad databas förutom att ge enkel tillgång till massor av användarinformation kan erbjuda cyberbrottslingar med ett antal andra möjligheter att tjäna pengar. Det bevisar också att skurkarna inte ska förhindra att ta dessa möjligheter.