Database mal configurati attaccati 18 volte al giorno dagli hacker

Database mal configurati attaccati 18 volte al giorno dagli hacker

Se lasci un database non protetto sul Web, quanto tempo impiegano gli hacker per trovarlo e rubarlo?

Il team di ricerca sulla sicurezza di Comparitech scopre regolarmente server non sicuri o non configurati correttamente che diffondono dati sensibili degli utenti sul Web. In uno scenario tipico, terze parti non autorizzate possono trovare, accedere e persino modificare i dati che le organizzazioni hanno lasciato esposte senza password o altre autenticazioni, mettendo a rischio la privacy e la sicurezza degli utenti.

Sebbene facciamo del nostro meglio per avvisare rapidamente chiunque sia responsabile delle esposizioni che troviamo, i dati rimangono spesso esposti e vulnerabili per un periodo che va da qualche ora fino a qualche settimana mentre si avvisa il proprietario e si aspetta una risposta.

Il tempo è essenziale in queste situazioni. Si vuole qui scoprire la velocità con cui i dati possono essere compromessi se non protetti.

Quindi, i ricercatori hanno creato un honeypot.

Il team di ricerca, guidato dall'esperto di sicurezza informatica Bob Diachenko, ha creato una simulazione di un database su un'istanza di Elasticsearch, un tipo di server cloud in cui i dati vengono spesso archiviati, e inserisce al suo interno dati falsi dell'utente. Quindi l'abbiamo lasciato pubblicamente esposto per vedere chi si sarebbe connesso ad esso e come avrebbero cercato di rubare, modificare o distruggere i dati.

Ecco cosa abbiamo trovato:

175 attacchi che iniziano appena 8 ore dopo l’apertura

Hanno lasciato i dati esposti dall'11 maggio 2020 al 22 maggio 2020. Durante quel periodo sono state fatte 175 richieste non autorizzate. Fanno ampiamente riferimento a queste richieste come "attacchi". Il loro honeypot ha registrato una media di 18 attacchi al giorno.

Il primo attacco è avvenuto il 12 maggio, solo 8 ore e 35 minuti dopo l’apertura.

Per trovare database vulnerabili, molti autori di attacchi utilizzano un motore di ricerca Internet-of-things (IoT) come Shodan.io o BinaryEdge. Shodan ha indicizzato il nostro honeypot il 16 maggio, il che significa che è stato quindi elencato nei risultati di ricerca.

Nel giro di un minuto dall'indicizzazione di Shodan, si verificarono due attacchi. Il maggior numero di attacchi in un solo giorno si è verificato nello stesso giorno in cui il database è stato indicizzato: 22 attacchi in totale.

Non vale la pena che oltre tre dozzine di attacchi siano avvenuti prima che il database fosse persino indicizzato dai motori di ricerca, dimostrando quanti hacker si affidano ai propri strumenti di scansione proattiva piuttosto che aspettare che i motori di ricerca IoT passivi come Shodan eseguano la scansione di database vulnerabili.

BinaryEdge ha indicizzato il database il 21 maggio.

I bot dei motori di ricerca che indicizzano il database sono stati esclusi dai risultati. Alcuni degli aggressori avrebbero potuto essere plausibilmente ricercatori della sicurezza simili al loro team, ma spesso non si riesce a distinguere tra un malintenzionato malintenzionato e un malintenzionato benigno.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.