12 Giugno 2020 - Tempo di lettura: 8 minuti
Se lasci un database non protetto sul Web, quanto tempo impiegano gli hacker per trovarlo e rubarlo?
Il team di ricerca sulla sicurezza di Comparitech scopre regolarmente server non sicuri o non configurati correttamente che diffondono dati sensibili degli utenti sul Web. In uno scenario tipico, terze parti non autorizzate possono trovare, accedere e persino modificare i dati che le organizzazioni hanno lasciato esposte senza password o altre autenticazioni, mettendo a rischio la privacy e la sicurezza degli utenti.
Sebbene facciamo del nostro meglio per avvisare rapidamente chiunque sia responsabile delle esposizioni che troviamo, i dati rimangono spesso esposti e vulnerabili per un periodo che va da qualche ora fino a qualche settimana mentre si avvisa il proprietario e si aspetta una risposta.
Il tempo è essenziale in queste situazioni. Si vuole qui scoprire la velocità con cui i dati possono essere compromessi se non protetti.
Quindi, i ricercatori hanno creato un honeypot.
Il team di ricerca, guidato dall'esperto di sicurezza informatica Bob Diachenko, ha creato una simulazione di un database su un'istanza di Elasticsearch, un tipo di server cloud in cui i dati vengono spesso archiviati, e inserisce al suo interno dati falsi dell'utente. Quindi l'abbiamo lasciato pubblicamente esposto per vedere chi si sarebbe connesso ad esso e come avrebbero cercato di rubare, modificare o distruggere i dati.
Ecco cosa abbiamo trovato:
Hanno lasciato i dati esposti dall'11 maggio 2020 al 22 maggio 2020. Durante quel periodo sono state fatte 175 richieste non autorizzate. Fanno ampiamente riferimento a queste richieste come "attacchi". Il loro honeypot ha registrato una media di 18 attacchi al giorno.
Il primo attacco è avvenuto il 12 maggio, solo 8 ore e 35 minuti dopo l’apertura.
Per trovare database vulnerabili, molti autori di attacchi utilizzano un motore di ricerca Internet-of-things (IoT) come Shodan.io o BinaryEdge. Shodan ha indicizzato il nostro honeypot il 16 maggio, il che significa che è stato quindi elencato nei risultati di ricerca.
Nel giro di un minuto dall'indicizzazione di Shodan, si verificarono due attacchi. Il maggior numero di attacchi in un solo giorno si è verificato nello stesso giorno in cui il database è stato indicizzato: 22 attacchi in totale.
Non vale la pena che oltre tre dozzine di attacchi siano avvenuti prima che il database fosse persino indicizzato dai motori di ricerca, dimostrando quanti hacker si affidano ai propri strumenti di scansione proattiva piuttosto che aspettare che i motori di ricerca IoT passivi come Shodan eseguano la scansione di database vulnerabili.
BinaryEdge ha indicizzato il database il 21 maggio.
I bot dei motori di ricerca che indicizzano il database sono stati esclusi dai risultati. Alcuni degli aggressori avrebbero potuto essere plausibilmente ricercatori della sicurezza simili al loro team, ma spesso non si riesce a distinguere tra un malintenzionato malintenzionato e un malintenzionato benigno.