Утечки из эластичных БД
За последние 30 днейЧтобы отслеживать киберугрозы в важнейших глобальных отраслях, команда WizCase постоянно проводит исследования в области кибербезопасности. В своих недавних исследованиях мы изучили утечки данных в медицинской отрасли и онлайн-образовании, которые представляют серьезную опасность, но практически полностью игнорируются. Изучив несколько отраслей, мы подумали, что было бы неплохо проанализировать общие проблемы утечек данных с серверов, от которых не застрахована ни одна компания, работающая с базами данных. За последние 10 лет произошло более 300 утечек данных с серверов, содержащих более 100 000 записей, — это огромные объемы данных, которые могут нанести серьезный ущерб компаниям и их пользователям.
Отслеживаемые параметры
Инструмент отслеживает и отображает несколько параметров, которые позволяют определить серьезность и масштаб глобальных утечек данных:
-
Анализируемый период времени:
укажите период времени, за который следует отобразить аналитику сервера.
-
Общее количество просканированных серверов:
общее количество серверов, просканированных за данный период времени.
-
Общее количество запущенных экземпляров Elasticsearch:
на скольких из просканированных серверов были запущены базы данных Elasticsearch.
-
Общее количество серверов, доступ к которым можно получить без авторизации:
сколько баз данных Elasticsearch не были защищены с помощью безопасной аутентификации.
-
Соотношение безопасных и небезопасных серверов:
доли баз данных, которые были доступны без безопасной аутентификации/пароля или полностью заблокировали доступ.
-
Соотношение размеров серверов:
доли просканированных баз данных Elasticsearch размером до 1 ГБ, от 1 до 100 ГБ и более 100 ГБ.
-
Общее количество записей на серверах, доступ к которым можно получить без авторизации:
количество общедоступных файлов во всех незащищенных базах данных Elasticsearch за определенный период времени.
-
Общее количество атакованных серверов, доступ к которым можно получить без авторизации:
количество небезопасных серверов, которые подверглись мяу-атакам, приведшим к краже или удалению данных.
Наиболее распространенные (для владельцев) риски после утечки данных
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
Кража
—украденные данные можно использовать для получения прямой финансовой выгоды (например, при краже данных кредитной карты) или кражи личных данных (если была получена конфиденциальная информация).
-
Шантаж
—злоумышленники могут использовать полученную информацию для шантажа владельцев, особенно при краже конфиденциальной медицинской информации или финансовых данных.
-
Захват учетной записи
—украденная информация может использоваться для доступа к учетным записям в различных сервисах, где используются идентичные учетные данные, или учетной записи, связанной со взломанной базой данных.
-
Фишинг/мошенничество
—Если был собран достаточный объем личной информации, ее можно использовать для организации высокоэффективных фишинговых атак или мошенничества. При этом у людей могут быть обманом выведаны еще более конфиденциальные данные, например реквизиты кредитной карты или банковская информация.
Последствия от утечки данных для компаний
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
Правовые последствия
—учитывая глобальный масштаб деятельности многих компаний, утечка данных может повлечь за собой юридические проблемы сразу в нескольких странах. Это может привести к чрезмерным судебным издержкам, которые способны поставить под угрозу само существование компании.
-
Репутационный ущерб
—потеря доверия клиентов после серьезной утечки данных, вероятно, будет огромной. Клиенты доверяют компаниям защищать свои данные, поэтому если те не справляются, клиенты с большой долей вероятности могут уйти к конкурентам. Фактически, средний размер упущенной прибыли в результате утечки данных составляет около 1,4 миллиона долларов.
-
Кража
—похищенные данные, от интеллектуальной собственности до финансовых отчетов, могут привести к значительным потерям самого разного характера.
-
Штрафы
—за несоблюдение правил защиты данных налагаются штрафы. Например, в 2017 Федеральная торговая комиссия США оштрафовала компанию Equifax на сумму до 700 миллионов долларов за утечку данных.
5 крупнейших утечек данных в истории
Крупнейшие в современной истории утечки данных коснулись крупнейших и пользующихся наибольшим доверием компаний. Неудивительно, что к 2018 году у двух третей онлайн-пользователей были украдены или скомпрометированы какие-нибудь данные.
Стоит отметить, что все компании на вершине этого списка являются американскими, а средняя стоимость утечки данных в США значительно выше, чем в остальном мире, и составляет 8,2 миллиона долларов.
-
Yahoo — в результате взлома в 2013 году у Yahoo похитили ни много, ни мало, а 3 миллиарда записей (все учетные записи, которые существовали в сервисе в то время). Эти записи содержали имена, адреса электронной почты и пароли. В 2014 году компанию снова взломали, и кто-то украл 500 миллионов записей.
-
First American Corporation — у поставщика страховых и бухгалтерских услуг из-за недостаточной защиты украли 885 миллионов записей, включая номера социального страхования, водительские права и многое другое.
-
Facebook — проблемы с безопасностью привели в 2019 году к утечке 540 миллионов записей, включая имена учетных записей, текст комментариев, реакции на публикации, списки друзей, фотографии, отметки о посещении мест и даже пароли 22 000 пользователей.
-
Marriott International — группа китайских хакеров взломала базу данных сети отелей в 2018 году и украла 500 миллионов записей. Они содержали имена, паспортные данные, адреса электронной почты, номера телефонов, домашние адреса и многое другое.
-
Friend Finder Networks — в 2016 году в результате атаки было похищено более 410 миллионов записей. Хотя никакой подробной личной информации раскрыто не было, на основе этих данных можно было проверить, регистрировался ли пользователь на сайте.
Советы: как защититься от утечки данных
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
Использовать уникальные учетные данные для каждой учетной записи
Если вы используете один и тот же пароль в нескольких учетных записях, утечка данных из одной из них может привести к взлому остальных. Используйте надежный менеджер паролей, чтобы для каждого сервиса у вас был отдельный надежный и уникальный пароль.
Использовать двухфакторную аутентификацию (2FA)
Если у вас включена двухфакторная аутентификация, злоумышленник практически никак не сможет получить доступ к вашей учетной записи без дополнительного кода, даже если украдет ваши учетные данные.
Настроить инструмент для отслеживания личных данных
Он будет предупреждать вас, если ваши личные данные появятся на каком-нибудь веб-сайте с украденными данными, в заявлении на выдачу кредита, сообщении в социальных сетях, счете за коммунальные услуги и т. п. Благодаря этому вы сможете быстро отреагировать на кражу своих данных.
Часто задаваемые вопросы. Трекер утечек данных и Elasticsearch
Какую долю Интернета сканирует трекер утечек данных?
Изначально он сканировал 100%, но мы снизили эту цифру до 0,06%. Раз в неделю мы проверяем весь Интернет на предмет IP-адресов, на которых может работать Elasticsearch — их около 250 000. За счет этого нам достаточно проанализировать всего 0,06% от всего Интернета, причем мы делаем это регулярно, чтобы иметь наиболее актуальные данные.
Для чего можно использовать трекер утечек данных?
Трекер утечек данных позволяет эффективно оценить глобальные уязвимости серверов и найти способы для повышения уровня защиты баз данных. Учитывая огромное количество уязвимых баз данных, мы надеемся, что этот трекер послужит в качестве тревожного звоночка для компаний и простых людей, которые хранят конфиденциальные данные на небезопасных серверах. Учитывая, что средняя цена утечки данных в мире составляет чуть менее 4 миллионов долларов, компаниям жизненно важно как можно быстрее защитить уязвимые базы данных.
Что такое Elasticsearch?
Elasticsearch — это движок базы данных, используемый для сортировки и поиска различных типов данных. Его можно использовать в различных целях, включая поиск приложений, аналитику журналов, мониторинг производительности и контроль безопасности. Пользователи любят его за скорость и способность просматривать огромные объемы данных за миллисекунды. Он считается одним из самых популярных движков баз данных в мире.
Что такое мяу-атака?
Мяу-атака — это особо разрушительный вид атаки, который, в отличие от многих других, не преследует никакой выгоды. Она просто ищет незащищенные базы данных и стирает все их содержимое, заменяя его своим коронным «мяу». Таким атакам подвержены не только базы данных Elasticsearch, но и MongoDB, Cassandra, Hadoop и другие.
Какие типы кибератак нацелены на серверы?
Помимо упомянутой выше мяу-атаки, существует множество других типов атак серверов, включая:
- DoS-атаки (отказ в обслуживании) — злоумышленник посылает на сервер больший объем трафика, чем тот может обработать, в результате чего сервер временно отключается.
- Атаки грубой силы — эти атаки пытаются получить доступ к учетной записи с расширенными правами, быстро пробуя огромное количество паролей.
- Обход каталога — эта уязвимость позволяет злоумышленнику выйти за пределы веб-каталога, где он потенциально может выполнять команды и искать конфиденциальные данные.
- Дефейс веб-сайта — злоумышленник может внести в базу данных вредоносные или нерелевантные данные, поэтому, когда обычные пользователи запросят такие данные, то увидят только «искаженный» результат атаки.
Какие еще типы баз данных в Интернете остаются незащищенными?
Практически любая база данных может быть атакована через Интернет. Однако некоторые из них, включая MongoDB, Cassandra, Hadoop и Jenkins, подвергаются атакам чаще.
Что делать с такими базами данных?
Elasticsearch содержит ряд встроенных механизмов аутентификации пользователей, благодаря которым входить в систему и просматривать данные на сервере могут только проверенные пользователи. Однако одного этого недостаточно, поскольку чтобы пользователи могли видеть только определенные данные, им необходимо предоставить некоторые права. В Elasticsearch это называется «механизмом управления доступом на основе ролей» (RBAC) — по сути, для повышения безопасности данных каждому пользователю присваивается роль и соответствующие права.
Конечно, защита на этом не заканчивается, но даже простая аутентификация уже сделает многие серверы намного более защищенными.
Как работает трекер утечек данных?
Наш трекер утечек данных каждую неделю сканирует Интернет и ищет незащищенные базы данных Elasticsearch, которые могут быть (или уже были) взломаны. На основе этих данных он составляет подробный график с несколькими параметрами, который позволяет проанализировать необходимый период времени или требуемые данные.
