Нарушения в Elastic бази данни
За последните 30 дниВ WizCase провеждаме изследвания в областта на киберсигурността и разкриваме киберзаплахи в критични световни индустрии,. В някои от последните ни проучвания, разгледахме изтичането на данни в медицинската индустрия и изтичането на данни в онлайн образованието. И двете са критично важни, но сериозно пренебрегвани. След като разгледахме няколко специфични случая, сметнахме, че е добре да анализираме общите сървърни нарушения, които могат да засегнат всяка компания, която управлява бази данни. През последните 10 години, е имало над 300 нарушения на данни в сървъри с над 100,000 записа – огромни количества данни, които могат да причинят хаос както в администрацията на фирмите, така и в животите на потребителите.
Какво точно следи инструментът
Инструментът следи и показва множество променливи, за да изобрази колко тежки и големи са глобалните нарушения:
-
Анализиран период от време:
Въведете ръчно период от време, за който да се показват сървърните анализи.
-
Общ брой сканирани сървъри:
Общият брой сканирани сървъри за избрания период от време.
-
Общ брой работещи бази данни Elasticsearch:
Колко от сканираните сървъри поддържат Elasticsearch бази данни.
-
Общ брой сървъри достъпни без авторизация:
Колко Elasticsearch бази данни са достъпни без защитено удостоверяване.
-
Съотношение защитени/незащитени сървъри:
Колко бази данни са достъпни без авторизация, колко изискват парола и колко блокират достъпа изцяло.
-
Проценти спрямо размера на сървъра:
Какъв процент от сканираните Elasticsearch бази данни са под 1GB, между 1 и 100GB и над 100GB.
-
Общ брой записи достъпи в сървъри без авторизация:
Броят публично достъпни файлове във всички незащитени Elasticsearch бази данни за избрания период от време.
-
Общ брой разбити сървъри без авторизация:
Колко незащитени сървъра са били разбити с атаки като Meow – с цел кражба или изтриване на данни.
Най-честите заплахи след нарушение на данни (За засегнатите)
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
Кражба
—Откраднатите данни могат да се използват за пряка финансова печалба – ако се открадне информация като данни от банкова карта – или за кражба на самоличност, ако се разкрият чувствителни лични данни.
-
Изнудване
—Атакуващите могат да използват придобитата информация, за да изнудват засегнатите, особено с чувствителна здравна информация и финансови данни.
-
Пробив в акаунти
—Открадната информация може да се използва за достъп до акаунти в различни платформи, ако засегнатият ползва едни и същи данни за вход, или за достъп до определен потребителски профил на засегнатия.
-
Фишинг/измами
—Ако се събере достатъчно количество лична информация, тя може да се използва за високоефективни фишинг атаки и измами. Засегнатите може да бъдат подмамени да разкрият още по-чувствителни данни – напр. информация от кредитна карта и банкови детайли.
Какво костват на фирмите нарушенията на данни
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
Правни последствия
—Поради глобалната дейност на повечето съвременни фирми, нарушение на данни означава правни проблеми в множество юрисдикции. Това може да доведе до необикновени юридически разходи – които дори да се превърнат в заплаха за съществуването на фирмата.
-
Нарушена репутация
—Загубата на доверие от клиентите след значително нарушение на данни вероятно ще бъде огромна. Клиентите разчитат на фирмите да пазят данните им в безопасност – и когато те не успеят да направят това, има голям шанс клиентите им да отидат другаде. Средната цена на изгубен бизнес след нарушение на данни е около 1.4 милиона долара.
-
Кражба
—От интелектуална собственост до финансова информация, откраднатите данни могат да доведат до значителни загуби, под всякакви форми.
-
Глоби
—Неспазването на разпоредбите за защита на личните данни води и до преки разходи, под формата на глоби. Например, нарушението на данни на Equifax през 2017 струваше $700 милиона глоба от Федералната търговска комисия на САЩ.
Топ 5 най-големи нарушения на данни в историята
Сериозните нарушения на данни засегнаха някои от най-големите и най-доверени фирми в историята. Не е изненадващо, че до 2018, две трети от хората в Интернет пространството вече са били с откраднати или компрометирани данни.
Струва си да се отбележи също, че най-засегнатите фирми са от САЩ, където средната цена за нарушение на данни – $8.2 милиона – е значително по-висока от средната за света.
-
Yahoo — При хакерска атака през 2013, от Yahoo бяха откраднати удивителните 3 милиарда записи (всички акаунти в платформите им по онова време): имена, имейл адреси и пароли. Фирмата беше хакната отново през 2014, когато бяха откраднаха 500 милиона записи.
-
First American Corporation — Заради лошата си защита, този доставчик на застрахователни и сетълмент услуги разкри 885 милиона записи – включително осигурителни номера, номера на шофьорски книжки и други.
-
Facebook — Слабата сигурност на компанията доведе до изтичане на 540 милиона записи през 2019 – включително имена на акаунти, подробности за коментари, публикации, приятели, снимки, и чекиране, плюс пароли на 22,000 потребители.
-
Marriott International — Хотелската верига загуби 500 милиона записи, когато китайски хакери разбиха фирмените ѝ бази данни през 2018. Засегнати бяха имена, данни от паспорти, имейли, телефонни номера, адреси и други.
-
Friend Finder Networks — Атаката доведе до кражба на над 410 милиона записи през 2016. Въпреки че не бяха разкрити подробни лични данни, хакерите са успели да идентифицират членовете на сайта.
Съвети: Как да се предпазим от нарушения на данни
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
Ползвайте различни данни за вход за различните си акаунти
Ако ползвате една и съща парола за няколко акаунта, едно нарушение на данни може да доведе до няколко атаки наведнъж. Използвайте надежден мениджър за пароли, за да имате силна и уникална парола за всяка платформа.
Ползвайте двуфакторно удостоверяване (2FA)
Ако данните Ви за вход бъдат откраднати при пробив, но имате активно 2FA, за атакуващия е почти невъзможно да получи достъп до акаунта Ви без допълнителния код.
Вземете си инструмент за проследяване на лична информация
Той предупреждава, когато личната Ви информация се появи на сайтове с откраднати данни или в заявления за кредити, публикации в социални медии, поръчки за комунални услуги и др. Така можете да реагирате веднага щом разберете, че данните Ви са били откраднати.
Често задавани въпроси: Тракер за нарушения на данни и Elasticsearch
Каква част от мрежата сканира Тракерът за нарушения на данни?
Първоначално 100%, но след това стесняваме до 0.06%. Веднъж седмично сканираме целия Интернет за IP адреси, които вероятно работят с Elasticsearch – общо около 250,000. По този начин, стесняваме мрежата до 0.06%, които редовно сканираме, за да поддържаме възможно най-актуалните резултати.
За какво може да се ползва Тракерът за нарушения на данни?
Тракерът за нарушения на данни предлага фантастичен начин за оценка на глобални сървърни уязвимости и анализ на това как може да се подобри защитата на световните база данни. Предвид огромния брой незащитени бази данни, ние се надяваме, че инструментът ще действа като аларма за фирми и хора, които съхраняват чувствителни данни на несигурни сървъри. Средната цена на пробив, в световен мащаб, е почти $4 милиона, така че е жизненоважно фирмите да защитят уязвимите си бази данни възможно най-бързо.
Какво е Elasticsearch?
Elasticsearch е механизъм за бази данни, използван за сортиране и търсене сред различни типове информация. Той има много приложения, включително търсене на приложения, анализ на регистрационни данни, мониторинг на производителност и анализ на сигурност. Потребителите харесват този механизъм най-вече заради бързината му и способността му да се справя с огромни количества данни за милисекунди. Той е един от най-популярните двигатели на бази данни в света.
Какво е Meow атака?
Кибератаката Meow е особено разрушителна. За разлика от повечето други атаки, тя не цели никаква печалба: просто търси незащитени бази данни и изтрива цялото съдържание от тях, оставяйки след себе си издайническото „Meow“ – изписано из цялата засегната база данни. Прилага се не само на Elasticsearch, но и на MongoDB, Cassandra, Hadoop и др.
Какъв тип кибератаки са насочени към сървъри?
Не са само Meow. Има много други атаки, насочени конкретно към сървъри:
- DoS (Denial of Service) атаки — Атакуващият залива сървъра с повече трафик, отколкото той може да обработи, което кара машината временно да излезе извън мрежата.
- Атаки с груба сила (Brute Force Attacks) — Чрез бързо отгатване на огромен брой пароли, тези атаки целят да получат достъп до привилегировани акаунти на сървъра.
- Обход на директория (Directory Traversal) — Тази уязвимост позволява на атакуващия да излезе извън уеб директорията, където потенциално може да изпълнява злонамерени команди и да събира чувствителни данни.
- Обезличаване на уебсайт (Website Defacement) —Атакуващият инжектира злонамерени и неподходящи данни в базата. Когато легитимните потребители поискат тези данни, виждат само „обезличения“ резултат от атаката.
Кои други типове бази данни в Интернет са незащитени?
Почти всяка база данни може да остане незащитена и отворена за Интернет атаки. Най-често атакувани са MongoDB, Cassandra, Hadoop и Jenkins.
Как могат да се подобрят незащитените бази данни?
Elasticsearch съдържа редица вградени механизми за удостоверяване на потребители, така че само проверени лица да могат да влизат и да преглеждат данните на сървъра. Това обаче не е достатъчно: потребителите трябва да имат привилегии да виждат само данните, за които са квалифицирани. В Elasticsearch това се нарича „базиран на роли механизъм за контрол на достъпа“ (RBAC): всеки потребител се дава определени роля и привилегии, с цел повишена сигурност на данните.
Разбира се, постигането на истинска сигурност е много по-сложно. Но все пак, дори само с усъвършенстване на настройките за удостоверяване, много сървъри биха могли да станат по-безопасни.
Как работи Тракерът за нарушения на данни?
Нашият Тракер за нарушения на данни сканира мрежата всяка седмица и търси незащитени Elasticsearch бази данни, които могат да бъдат атакувани (или вече са били). След това съхранява резултатите и ги прави достъпни под формата на подробна графика, с множество променливи – за да можете лесно да анализирате периода от време и данните, които желаете.
