Витоки баз даних Elastic
Останні 30 днівДля того, щоб пролити світло на кіберзагрози в важливих глобальних індустріях, команда WizCase взялася за проведення тривалого дослідження з кібербезпеки. В рамках цього дослідження ми проаналізували витоки даних в медичній індустрії та витоки даних в онлайн-освіті – двох вкрай важливих сферах, які часто залишаються без уваги. Дослідивши декілька окремих сфер, ми вирішили проаналізувати загальні витоки серверів, які можуть торкнутися будь-якої компанії, що використовує бази даних. За останні 10 років в світі відбулося понад 300 витоків даних з серверів, які містили більш ніж 100 000 записів — це величезний обсяг інформації, яка може спричинити низку проблем для компаній та їх клієнтів.
Відстежувані змінні
Засіб відстежує та показує декілька змінних для демонстрації тяжкості та масштабності глобальних витоків:
-
Аналізований проміжок часу:
Вручну вкажіть проміжок часу, для якого потрібно показувати серверну статистику.
-
Загальна кількість перевірених серверів:
Загальна кількість серверів, перевірених за певний проміжок часу.
-
Загальна кількість запущених екземплярів Elasticsearch:
Кількість перевірених серверів, на яких було запущено базу даних Elasticsearch.
-
Загальна кількість серверів, доступних без авторизації:
Кількість баз даних Elasticsearch, до яких можна було отримати доступ без захищеної авторизації.
-
Аналіз захищених та незахищених серверів:
Який відсоток баз даних був доступний без захищеної авторизації, потребував паролю чи повністю блокував доступ.
-
Відсоток серверів за розміром:
Який відсоток перевірених баз даних Elasticsearch був менше 1 ГБ, від 1 до 100 ГБ чи понад 100 ГБ.
-
Загальна кількість записів, розкритих на серверах, доступних без авторизації:
Кількість загальнодоступних файлів з усіх незахищених баз даних Elasticsearch за певний проміжок часу.
-
Загальна кількість серверів, доступних без авторизації, які були атаковані хакерами:
Скільки незахищених серверів піддалися атакам, таким як Meow, що призвело до крадіжки чи видалення даних.
Найпоширеніші загрози після витоку даних (для тих, кого це торкнулося)
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
Крадіжка
—Отримані дані можуть бути використані для прямого фінансового збагачення, наприклад якщо було вкрадено дані кредитних карток, або крадіжки особистості, якщо було розкрито конфіденційну особисту інформацію.
-
Шантаж
—Зловмисники можуть використовувати отриману інформацію для шантажу розкритих сторін, особливо якщо це конфіденційні медичні чи платіжні дані.
-
Привласнення акаунту
—Вкрадену інформацію може бути використано для отримання доступу до акаунтів в різних сервісах, якщо в них використовуються однакові авторизаційні дані, або для доступу до акаунту у провайдера, який став жертвою витоку.
-
Фішинг/шахрайство
—Якщо було отримано особисті дані, їх може бути використано для підготовки високоефективних фішингових атак чи шахрайських схем. Це може привести до розкриття ще більшого обсягу конфіденційної інформації, наприклад даних кредитної картки чи банківського рахунку.
Наслідки витоку даних для компаній
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
Юридичні проблеми
—З огляду на глобальність багатьох компаній, витік даних часто може призводити до появи проблем в деяких юрисдикціях. Результатом цього можуть бути величезні штрафи, які навіть можуть загрожувати існуванню компанії.
-
Удар по репутації
—Втрата довіри клієнтів після значного витоку, найімовірніше, буде дуже великою. Клієнти довіряють компаніям збереження своїх даних, тому якщо останнім не вдається дотриматися своїх обіцянок, багато людей можуть просто перестати з ними співпрацювати. Насправді, середній збиток від втрачених клієнтів через витік даних становить приблизно $1.4 млн.
-
Крадіжка
—Від інтелектуальної власності до фінансових даних, крадіжка інформації може призвести до значних втрат в різних сферах.
-
Штрафи
—Невиконання законів щодо захисту даних напряму призводить до сплати штрафів. Наприклад, через витік даних Equifax в 2017 році Федеральна торгова комісія США оштрафувала компанію на суму до $700 млн.
5 найбільших витоків даних в історії
Найбільші витоки даних в історії були пов’язані з найбільшими та найдовіренішими компаніями у світі. Саме тому не дивно, що до 2018 року дані двох третіх користувачів інтернету було вкрадено чи розкрито.
Варто зауважити, що всі передові компанії, яких це торкнулося, є американськими, а середній збиток від витоку даних у них значно вище глобального показника і становить $8.2 млн.
-
Yahoo — У компанії Yahoo було вкрадено аж 3 мільярди записів (це всі акаунти, зареєстровані в сервісі на момент інциденту) внаслідок атаки хакерів в 2013 році. Ці записи включали імена, email-адреси та паролі користувачів. Компанія була повторно атакована в 2014 році, і цього разу хакерам вдалося вкрасти 500 млн записів.
-
First American Corporation — Постачальник послуг зі страхування та розселення розкрив 885 млн записів через поганий захист. Дані включали номери соціального страхування, водійські посвідчення та іншу інформацію.
-
Facebook — Внаслідок поганого захисту в 2019 році було розкрито понад 540 млн записів, які включали імена акаунтів, зміст коментарів, реакції на публікації, друзів, фотографії, відвідані місця і навіть паролі 22 000 користувачів.
-
Marriott International — Мережа готелів втратила 500 млн записів внаслідок атаки китайських хакерів у 2018 році. Ці записи включали імена, паспортні дані, електронну пошту, телефонні номери, адреси та іншу інформацію.
-
Friend Finder Networks — Внаслідок атаки в 2016 році було вкрадено понад 410 млн записів. Хоча й детальні особисті дані не було розкрито, витік дав змогу дізнатися, хто є користувачем сайту.
Поради: Як захистити себе від витоків даних
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
Використовуйте унікальні авторизаційні дані для кожного акаунту
Якщо ви використовуєте однаковий пароль для кількох акаунтів, витік даних може привести до одночасного розкриття всіх цих облікових записів. Користуйтеся надійним менеджером паролів та створюйте складні та унікальні паролі для кожного сервісу.
Використовуйте двофакторну автентифікацію (2ФА)
Якщо на момент крадіжки ваших авторизаційних даних у вас було активовано 2ФА, хакеру буде майже неможливо отримати доступ до вашого акаунту без додаткового коду.
Налаштуйте засіб моніторингу особистості
Він сповістить вас, якщо ваші особисті дані з’являться на сайті з вкраденою інформацією чи в заявах на позику, записах в соціальних мережах, квитанціях на оплату комунальних послуг і не тільки. Це дасть вам змогу вжити потрібних заходів, щойно ви дізнаєтеся, що ваші дані було вкрадено.
Поширені запитання: Трекер витоків даних та Elasticsearch
Який відсоток всесвітньої мережі сканує Трекер витоків даних?
Спочатку 100%, але потім ми скорочуємо цей показник до 0.06%. Раз на тиждень ми скануємо весь інтернет, щоб знайти IP-адреси, які, найімовірніше, використовують Elasticsearch — загалом їх приблизно 250 000. Це допомагає нам зі всієї мережі сфокусуватися лише на важливих 0.06%, які ми потім скануємо на регулярній основі, щоб мати актуальну інформацію.
Для чого може знадобитися Трекер витоків даних?
Трекер витоків даних є чудовим засобом для оцінки вразливостей глобальних серверів та пошуку потенційних вдосконалень безпеки світових баз даних. З огляду на величезну кількість вразливих баз даних, ми сподіваємося, що цей засіб зможе послужити сигналом тривоги для підприємств та всіх, хто зберігає дані на незахищеному сервері. Оскільки середній збиток від витоку даних у світі становить трохи менше ніж $4 млн, компаніям вкрай необхідно захистити свої вразливі бази даних якомога скоріше.
Що таке Elasticsearch?
Elasticsearch – це рушій баз даних, який використовується для сортування та пошуку різних типів інформації. Він має багато застосувань, до яких належать пошук заявок, збір аналітики, моніторинг продуктивності та аналіз безпеки. Користувачі особливо люблять цей рушій за його швидкість та можливість здійснювати пошук серед великих обсягів даних за лічені секунди. Elasticsearch є одним з найпопулярніших рушіїв баз даних у світі.
Що таке атака Meow?
Кібератака Meow – це особливо руйнівний тип атаки, який, на відміну від багатьох інших типів атак, не має на меті збагачення в тій чи іншій формі. Ця атака просто шукає незахищені бази даних та знищує весь їхній зміст, залишаючи після себе свою мітку “Meow”, написану по всій атакованій базі даних. Вона направлена не лише на бази даних Elasticsearch, але й на MongoDB, Cassandra, Hadoop та інші.
Які типи кібератак спрямовуються на сервери?
Окрім вищезазначеної атаки Meow, існує багато типів атак, які спрямовуються на сервери. До них належать:
- Атаки DoS (Denial of Service) — Нападник перенавантажує сервер таким обсягом трафіку, якого він не може витримати, внаслідок чого сервер тимчасово вимикається.
- Брутфорс-атаки — Шляхом швидкого перебору величезної кількості паролів такі атаки намагаються отримати доступ до акаунту з правом управління сервером.
- Обхід каталогів — Ця вразливість дозволяє нападнику обійти веб-директорію, щоб потенційно мати змогу виконувати команди чи знайти конфіденційні дані.
- Дефейс сайту — Нападник може розмістити шкідливу чи недоречну інформацію в базі даних, і коли звичайні користувачі спробують її переглянути, вони побачать “дефейс-версію”, яка з’явилася в результаті атаки.
Які ще види баз даних можуть бути залишені відкритими в інтернеті?
Майже будь-яка база даних може бути залишена незахищеною та відкритою до атак в інтернеті. Втім, найбільш вразливими до атак є такі бази даних, як MongoDB, Cassandra, Hadoop та Jenkins.
Як можна виправити незахищені бази даних?
Elasticsearch має ряд вбудованих механізмів для авторизації, щоб лише верифіковані користувачі могли увійти та переглянути дані на сервері. Втім, одного цього заходу недостатньо, оскільки користувачам також необхідно надавати певні привілеї, щоб вони могли переглядати лише ті дані, на які мають дозвіл. В Elasticsearch цей процес здійснює “рольовий механізм контролю доступу” (RBAC) — по суті, кожному користувачу присвоюється певна роль та відповідні привілеї для посиленого захисту даних.
Звісно, система забезпечення безпеки є набагато складнішою, ніж описано вище. Загалом, завдяки використанню більш передових засобів автентифікації багато серверів могли б бути значно більш захищеними.
Як працює Трекер витоків даних?
Наш Трекер витоків даних сканує всесвітню мережу щотижня, шукаючи незахищені бази даних Elasticsearch, які потенційно можуть розкрити свою інформацію (або вже розкривали її в минулому). Засіб зберігає цю статистику та представляє її в формі детального графіка з кількома змінними, щоб ви могли проаналізувати точний проміжок часу та дані, які вас цікавлять.
