Adatszivárgás-követés

A nyílt, nem biztonságos adatbázisok változásainak nyomon követése

Az összes megvizsgált szerver
334,018
Az összes használatban lévő példány
3,543
Az összes felhatalmazás nélkül hozzáférhető szerver
2,162
Teljes adatmennyiség a felhatalmazás nélkül hozzáférhető szerveken
4 TB
Az összes felhatalmazás nélkül hozzáférhető szervereken tárolt rekord mennyisége
14,261,872,428
Az összes Meow által megtámadott, felhatalmazás nélkül hozzáférhető szerver
4
* A fenti adatok a legfrissebb (July 18th, 2022) vizsgálatunk eredményein alapulnak

Hogy jobban rávilágíthassunk a kritikus globális iparágakat fenyegető kiberfenyegetésekre, a WizCase csapata folyamatos kiberbiztonsági kutatást végez. Legfrissebb kutatásaink során az egészségügyet érintő és az online oktatás területén tapasztalható adatszivárgásokat vizsgáltuk; mindkét terület fontos, ámde meglehetősen elhanyagolt. Számos iparágspecifikus vizsgálatot követően úgy gondoltuk, érdemes lehet egy általános szerverszivárgási elemzést végezni, mivel ezek bármely, adatbázist üzemeltető társaságot érinthetnek. Az elmúlt tíz évben több mint 300 adatszivárgási eset történt 100 000-nél is több rekordot tartalmazó szervereken — óriási adatmennyiség, amelynek kiszivárgása mind a vállalatok, mind felhasználóik számára jelentős kárt okoz.

A megfigyelt változók

Az eszköz több változót követ nyomon és ábrázol, hogy láthatóvá váljon a globális adatszivárgások mértéke és súlyossága:

  • Elemzési időszak:

    A szerverelemzés-kimutatás manuálisan beállítható időtartama.

  • A megvizsgált szerverek száma:

    Az adott időszakban megvizsgált szerverek teljes száma.

  • A futtatott Elasticsearch-alkalmazások száma:

    Azt mutatja, hogy a megvizsgált szerverek közül hány darabon futott Elasticsearch-adatbázis.

  • Felhatalmazás nélkül elérhető szerverek száma:

    A biztonságos hitelesítés nélkül hozzáférhető Elasticsearch-adatbázisok száma.

  • A biztonságos és nem biztonságos szerverek aránya:

    A megvizsgált szerverek hány százaléka volt elérhető biztonságos hitelesítés nélkül, hány százalék igényelt jelszavas azonosítást illetve hány blokkolta teljesen a hozzáférést.

  • A szerverek adatbázisméret szerinti megoszlása:

    A szerverek hány százalékán volt az adatbázis mérete 1GB alatt, 1 és 100GB között illetve 100GB fölött.

  • A felhatalmazás nélkül elérhető szervereken hozzáférhető rekordok száma:

    Az adott időszakban az összes védtelen Elasticsearch-adatbázisból nyilvánosan hozzáférhető fájlok száma.

  • A megtámadott, felhatalmazás nélkül elérhető szerverek száma:

    Azon nem biztonságos szerverek száma, amik az adott időszakban a Meow-hoz hasonló, sikeres támadásnak voltak kitéve, adatlopást vagy -törlést eredményezve.

Az adatszivárgásokból eredő leggyakoribb fenyegetések (az érintettek számára)

Az ellopott adatok mibenlététől függően, az adatszivárgások áldozatai többféle visszaéléssel lehetnek kénytelenek szembenézni:

  • Lopás

    Egyes adatok (például bankkártyaadatok) ellopásuk esetén közvetlen anyagi károkozásra alkalmasak, mások (példásul részletes személyes adatok) személyazonosság-lopásra használhatók.

  • Zsarolás

    A támadók a megszerzett adatokat az érintett felek zsarolására használhatják. Erre különösen alkalmasak az egészségügyi vagy a pénzügyi adatok.

  • Fióklopás

    Az ellopott adatok felhasználhatók az áldozatok – a feltört szolgáltatónál meglévő – felhasználói fiókja feletti irányítás átvételére, de ez kiterjedhet egyéb szolgáltatásokra is, amennyiben az adott felhasználó több helyen is ugyanazokat a bejelentkezési adatokat használja.

  • Adathalászat/csalás

    Amennyiben a csalók elegendő mennyiségű személyes adathoz jutnak hozzá valakiről, az lehetővé teszi számukra személyre szabott, kimondottan hatásos adathalász vagy egyéb átverések kivitelezését. Ezek segítségével a célszemélyről még több személyes adat nyerhető ki, például bankkártya- és banki adatok.

Az adatszivárgások által vállalatok számára okozott károk

Az adatszivárgások hatásai természetesen nem csupán azokat érintik, akinek az adatai napvilágra kerültek, hanem azokat is akikre ezeket az adatokat rábízták. Az adatszivárgási incidensnek kitett vállalkozások a következő problémákkal és következményekkel kell szembenézzenek:

  • A jó hírnév csorbulása

    Egyértelmű, hogy egy jelentős adatszivárgást követően a fogyasztói bizalomvesztés nagyon komoly méreteket ölt. A társaságok felhasználói érzékeny adataikat kénytelenek a vállalkozásokra bízni, így ha az képtelen garantálni az adatok biztonságát, az ügyfelek jó eséllyel más szolgáltatót fognak keresni. Az adatok szerint egy adatszivárgást követően fellépő átlagos üzleti veszteség mintegy 1.4 milliárd dollárra tehető.

  • Lopás

    Az ellopott információk szellemi tulajdontól, a pénzügyi adatokig számos formában okozhatnak jelentős veszteséget.

  • Bírságok

    Az adatvédelmi előírások betartásának elmulasztása a fentiek mellett sokkal közvetlenebb költségekkel is jár: büntetéssel. A 2017-es Eqifax adatszivárgási incidenst követően az Egyesült Államok Szövetségi Kereskedelmi Bizottsága 700 millió dolláros büntetést szabott ki a vállalatra.

Az öt legjelentősebb adatszivárgási incidens

Az adatszivárgási incidensek jelenleg ismert legkomolyabb esetei a világ legnagyobb és legmegbízhatóbbnak tartott vállalkozásait érintik. Nem véletlen, hogy 2018-ra az internethasználók mindegy kétharmadának lopták már el adatait.

Érdemes megjegyezni, hogy az összes érintett csúcsvállalkozás amerikai, ahol az adatszivárgások járulékos költsége lényegesen magasabb a 8.2 millió dolláros globális átlagnál.

  1. Yahoo — Yahoo 2013-as feltörésekor döbbenetes mennyiségű, mintegy hárommilliárd rekord került rossz kezekbe (az addigi összes regisztráció adatai). Az adatok között nevek, e-mail-címek és jelszavak is szerepeltek. A következő évben újra feltörték rendszereiket, ezúttal 500 millió rekordot loptak el.
  2. First American Corporation — A biztosítási és pénzügyi szolgáltatótól, gyenge biztonsági rendszereiknek köszönhetően 885 millió rekord kerül nyilvánosságra, társadalombiztosítási számokkal, jogosítványok adataival és számos egyéb érzékeny információval.
  3. Facebook — Szintén az elégtelen biztonság vezetett 540 millió rekord kiszivárgásához 2019-ben. A napvilágot látott adatok között felhasználónevek, kommentek részletes adatai, reakciók, barátok listája, fotók, bejelentkezési adatok, sőt 22 000 felhasználó esetében még jelszavak is előfordultak.
  4. Marriott International — A hotellánchoz egy kínai hackercsapat tört be 2018-ban és tulajdonított el 500 millió rekordot nevekkel, útlevéladatokkal, e-mail-címekkel, telefonszámokkal, címekkel és egyéb adatokkal.
  5. Friend Finder Networks — Egy 2016-os támadás során 410 millió rekordot loptak el. Habár részletes személyes információk nem kerültek nyilvánosságra, az oldal felhasználóinak kilétét meg lehetett állapítani belőlük.

Néhány tipp, hogyan védheted magad az adatszivárgásokkal szemben

Érdemes néhány dolgot megfontolni annak érdekében, hogy egy adatszivárgási incidens rád nézve a lehető legminimálisabb hatással legyen:

Egyedi belépési adatok használata minden fiókhoz

Ha ugyanazt a jelszót használod minden regisztrációhoz, egy adatszivárgás esetén akár a többi fiókod adatai is nyilvánossá válhatnak. Használj egy megbízható jelszókezelő alkalmazást, így erős és egyedi jelszavaid lehetnek minden szolgáltatáshoz.

Kétlépcsős azonosítás aktiválása (2FA)

Hiába jutnak illetéktelen kezekbe a belépési adataid, a kétlépcsős azonosítás használatával gyakorlatilag lehetetlen, hogy a támadók hozzáférést szerezzenek a fiókodhoz az alkalmi kód ismerete nélkül.

Adatszivárgás-figyelő használata

Egy adatszivárgás-figyelő alkalmazás érzékeli, ha személyes adataid feltűnnek egy adatszivárgási incidensben, a közösségi médiában, kölcsönigényléseken, megrendelésekben és egyéb helyeken. Így esélyed nyílik azonnal reagálni, amint kiderül, hogy az adataid nyilvánosságra kerültek.

GYIK: Az adatszivárgás-követő és az Elasticsearch

Az internet mekkora részét vizsgálja át az adatszivárgás-követő?

Első lépésként a 100%-át, de ezt leszűkítjük 0.06%-ra. Heti egy alkalommal a teljes internetet végigvizsgáljuk olyan IP-címeket keresve, amelyeken gyaníthatóan az Elasticsearch szolgáltatást használják — ez összesen nagyjából 250 000 címet jelent. Ilyen módon a a továbbiakban csupán ezt a 0.06%-ot kitevő szervert kell rendszeresen ellenőrizni ahhoz, hogy a lehető legpontosabb képet kapjuk.

Mire használható az adatszivárgás-követő?

Az adatszivárgás-követő egy nagyszerű megoldás a globális szerverállomány feltérképezésére, sérülékenységek keresésére és annak elemzésére, miként javítható az adatbázisok biztonsága világszerte. Mivel a sérülékeny adatbázisok száma hatalmas, bízunk benne, hogy eszközünk  riasztásként szolgálhat minden, az érzékeny adatokat nem biztonságos szerveken tároló vállalkozás számára. Tekintettel arra, hogy egy adatszivárgási incidens átlagos globális költsége megközelíti a 4 millió dollárt, ezen vállalkozások számára létfontosságú, hogy minél gyorsabban biztonságossá tegyék sérülékeny adatbázisaikat.

Mi az az Elasticsearch?

Az Elasticsearch egy adatbázis-kezelő szoftver, ami különböző típusú adatok rendezésére és keresésre használható. Számtalan felhasználási területe közé tartozik az alkalmazáskeresés, a teljesítmény-nyomonkövetés, naplózási adatok feldolgozása és a biztonsági elemzések. Különösen népszerű nagy sebessége miatt, aminek köszönhetően hatalmas adatmennyiségből is képes ezredmásodpercek alatt keresési eredményeket biztosítani. A világ egyik legnépszerűbb adatbázis-kezelője.

Mi az a Meow-támadás?

A Meow egy kifejezetten pusztító erejű kibertámadási forma, ami a legtöbb támadási módszerrel ellentétben nem profitvezérelt. Összes funkciója, hogy a nem biztonságos adatbázisokat felkutatja, törli a teljes tartalmukat és adatbázisszerte a “Meow” üzenetet hagyja. A támadás nem csupán a Elasticsearch-adatbázisokat érinti, de többek közt a MongoDB-t, a Cassandrát és a Hadoopot is.

Milyen típusú kibertámadások célozzák a szervereket?

A már említett Meow-n kívül számos egyéb támadási forma célozza a szervereket. Néhány példa:

  • Szolgáltatás-megtagadásos támadás (Denial of Service – DoS) — Lényegét tekintve a támadó lényegesen nagyobb forgalmat irányít a megtámadott szerver felé, mint amit az ki tud szolgálni, ezzel ideiglenesen elvágva azt az internettől.
  • Brute Force-támadások — A brute force-támadás során rövid idő alatt óriási mennyiségű jelszó kipróbálgatásával próbálnak hozzáférést szerezni valamely, a szerveren lévő adminisztrátori jogkörrel rendelkező fiókhoz.
  • Könyvtárbejárás (Directory Traversal) — Ez a sérülékenység lehetővé teszi, hogy a támadó feljebb lépjen a weboldal könyvtárából, ahol potenciálisan parancsokat hajtathat végre vagy érzékeny adatokat kereshet.
  • Weblap deface — A támadó rosszindulatú vagy irreleváns adatokat injektál az adatbázisba, így a látogatók és felhasználók ezt a támadók által megváltoztatott tartalmat látják a weblap megnyitásakor.

Milyen adatbázisok találhatók nyitva az interneten?

Szinte bármelyik adatbázis-kezelő kitehető az internetes támadásoknak, amennyiben nem gondoskodnak a kellő biztonságosságáról, azonban egyes típusokat a szokásosnál is gyakrabban hagyják nyitva a támadásokkal szemben, ilyenek például a MongoDB, a Cassandra, a Hadoop és a Jenkins.

Hogyan tehető biztonságossá egy nyitva hagyott adatbázis?

Az Elasticsearch számos beépített felhasználói hitelesítési mechanizmussal rendelkezik, annak érdekében hogy kizárólag az arra felhatalmazott felhasználók jelentkezhessenek be és tekinthessék meg az adatokat a szerveren. Azonban ez a funkció önmagában nem elégséges, gondoskodni kell róla, hogy minden felhasználó csak a szerepkörének megfelelő jogosultsággal rendelkezzen. Ez az Elasticserach-ben szerepkör alapú hozzáférési vezérlőmechanizmusnak (role-based access control mechanism – RBAC) nevezik — ami a szerepkörön alapuló jogosultságok kezelésével gondoskodik a fokozott adatbiztonságról.

Természetesen a biztonság tovább is fokozható, azonban már csupán a fejlettebb hitelesítési beállítások alkalmazásával sok szervert lehetne lényegesen biztonságosabbá tenni.

Hogyan működik az adatszivárgás-követő?

Az adatszivárgás-követő eszközünk minden héten átvizsgálja az internetet olyan nem biztonságos Elasticsearch-adatbázisokat keresve, amelyek potenciális támadási és adatszivárgási célpontok lehetnek (vagy már fel is törték őket). Az adatok ezt követően tárolásra kerülnek, és különböző változók szerint, bármely időintervallumon részletes grafikonok formájában elérhetővé válnak további elemzések céljából.

MEGOSZTÁS ÉS TÁMOGATÁS

A WizCase egy független áttekintéseket tartalmazó oldal. Olvasói támogatást kapunk, így jutalékot kaphatunk, ha webhelyünkön található hivatkozásokon keresztül vásárol. Nem fizet többet semmiért sem, ha a webhelyünkön vásárol: jutalékunkat közvetlenül a termék tulajdonosától kapjuk.

Támogassa a WizCase-t a tisztességes és elfogulatlan tanácsadás garantálásában. Támogasson minket azáltal, hogy megosztja webhelyünket!