Monitor naruszeń ochrony danych

Śledzenie ewolucji otwartych, niezabezpieczonych baz danych

Łączna liczba przeskanowanych serwerów
334,015
Łączna liczba uruchomionych instancji
5,953
Łączna liczba serwerów dostępnych bez autoryzacji
3,662
Łączna liczba ujawnionych rejestrów na serwerach dostępnych bez autoryzacji
45,302,813,304
Łączna liczba serwerów dostępnych bez autoryzacji zaatakowanych przez Meow
211
* Wartości powyżej pochodzą z najnowszego skanowania z dnia September 27th, 2021

Aby zwiększyć świadomość zagrożeń w kluczowych sektorach przemysłu, zespół WizCase zaangażował się w długoterminowe badania w zakresie cyberbezpieczeństwa. Niedawnym obiektem naszych obserwacji stały się niezwykle ważne i słabo nagłośnione wycieki danych w branży medycznej oraz ataki hakerskie w sektorze edukacji online. Po przyjrzeniu się poszczególnym branżom, postanowiliśmy zająć się tematykom ataków hakerskich na serwery, które mogą wpłynąć na każdą firmę korzystającą z baz danych. A przestrzeni ostatnich 10 lat miało miejsce ponad 300 włamań na serwery zawierające powyżej 100 tys. rejestrów – ogromne ilości danych mogące powodować nieopisane straty zarówno dla firm, jak i indywidualnych użytkowników.

Monitorowane zmienne

Narzędzie monitoruje i wyświetla różne zmienne ułatwiające ocenę skali naruszeń ochrony danych. Są to:

  • Analizowany zakres czasu:

    po wprowadzeniu przedziału czasowego można wyświetlić dane analityczne serwerów.

  • Łączna liczba przeskanowanych serwerów:

    łączna liczba serwerów sprawdzonych w danym przedziale czasowym.

  • Łączna liczba uruchomionych instancji Elasticsearch:

    liczba przeskanowanych serwerów z uruchomioną bazą danych Elasticsearch.

  • Łączna liczba serwerów dostępnych bez autoryzacji:

    liczba baz danych Elasticsearch dostępnych bez bezpiecznego uwierzytelnienia.

  • Podział na zabezpieczone i niezabezpieczone serwery:

    procentowy udział baz danych pozbawionych bezpiecznego uwierzytelnienia, zabezpieczonych hasłem lub z zablokowanym dostępem.

  • Procentowy rozmiar serwerów:

    klasyfikacja przeskanowanych baz danych Elasticsearch według rozmiaru w przedziałach poniżej 1 GB, od 1 do 100 GB i powyżej 100 GB.

  • Łączna liczba ujawnionych rejestrów na serwerach dostępnych bez autoryzacji:

    liczba publicznie dostępnych plików we wszystkich niezabezpieczonych bazach danych Elasticsearch w określonym przedziale czasowym.

  • Łączna liczba serwerów dostępnych bez autoryzacji zaatakowanych przez hakerów:

    liczba niezabezpieczonych serwerów, które padły ofiarą ataków takich jak Meow, co spowodowało kradzież lub utratę danych.

Najczęstsze zagrożenia związane z naruszeniami ochrony danych

W zależności od zakresu danych wykradzionych podczas ataku hakerskiego, mogą one zostać wykorzystane do różnych celów, takich jak:

  • Kradzież

    przejęte dane mogą zostać wykorzystane bezpośrednio w celu wzbogacenia (zwłaszcza jeżeli obejmują one dane kart bankowych) lub kradzieży tożsamości.

  • Szantaż

    cyberprzestępcy mogą wykorzystać pozyskane informacje do prób szantażu, zwłaszcza przy życiu poufnych danych finansowych lub dotyczących stanu zdrowia.

  • Przejęcie konta

    wykradzione dane mogą zostać wykorzystane do przejęcia dostępu do wszelkiego rodzaju kont w Internecie (zwłaszcza jeśli ofiara stosuje podobne hasła), w tym kont powiązanych bezpośrednio z dostawcą usług będącym celem ataku.

  • Ataki phishingowe i próby oszustw

    w przypadku zgromadzenia dostatecznej ilości danych przestępcy mogą zorganizować ataki lub próby oszustw ściśle ukierunkowane na indywidualne osoby, by wydobyć od nich jeszcze więcej poufnych informacji, takich jak numery kart kredytowych i inne dane finansowe.

Koszty naruszeń ochrony danych ponoszone przez firmy

Naruszenia ochrony danych nie wpływają tylko na osoby, których dane zostały wykradzione, ale również na podmioty pełniące pieczę nad ich ochroną. Firmy padające ofiarami ataków hakerskich muszą spodziewać się następujących skutków:

  • Utrata reputacji

    strata zaufania klientów po poważnym hakerskim może pociągać za sobą daleko idące konsekwencje. Klienci powierzają firmom bezpieczeństwo swoich poufnych danych i często nie tolerują niedociągnięć lub nawet czysto przypadkowych wpadek w zakresie ich ochrony. Średni szacowana wysokość utraty przychodów w następstwie naruszenia ochrony danych to około 1,4 mln dolarów amerykańskich.

  • Kradzież

    począwszy od tajemnic handlowych i własności intelektualnej, na danych finansowych kończąc, kradzież danych może powodować poważne straty w wielu wymiarach.

  • Kary finansowe

    w przypadku ujawnienia niedociągnięć w świetle przepisów o ochronie danych bezpośrednimi konsekwencjami mogą być kary finansowe. Przykładowo, w następstwie włamania na serwery Equifax w 2017 roku, amerykańska Federalna Komisja Handlowa nałożyła na firmę karę grzywny w wysokości 700 mln dolarów.

5 największych naruszeń ochrony danych w historii

Największe historyczne naruszenia ochrony danych dotknęły niektóre z najszerzej znanych i poważanych firm na rynku, ale nie jest to nic dziwnego, biorąc pod uwagę szacunki, że już w 2018 roku poufne dane dwóch trzecich użytkowników Internetu były bezpośrednio narażone w następstwie ataków hakerskich.

Warto też zwrócić uwagę, że wszystkimi ofiarami największych ataków były firmy ze Stanów Zjednoczonych, gdzie szacunkowy średni koszt związany z naruszeniem ochrony danych wynosi aż 8,2 mln dolarów.

  1. Yahoo — atak hakerski na bazy danych Yahoo w 2013 roku poskutkował kradzieżą oszałamiającej ilości 3 miliardów rejestrów danych (tj. wszystkich kont zarejestrowanych wówczas w serwisie). Wśród skradzionych danych były imiona i nazwiska, adresy e-mail i dane logowania użytkowników. Firma znalazła się ponownie na celowniku hakerów w 2014 roku, kiedy to z jej baz skradziono kolejnych 500 milionów rejestrów.
  2. First American Corporation — ten amerykański dostawca usług ubezpieczeniowych i rozliczeniowych dopuścił do kradzieży 885 milionów rejestrów, w tym numerów ubezpieczeń społecznych, praw jazdy i innych dokumentów tożsamości w związku z ubogim poziomem zabezpieczeń..
  3. Facebook — słabe zabezpieczenia doprowadziły w 2019 roku do wycieku 540 milionów rejestrów, w tym nazw kont, treści komentarzy i reakcji na wpisy, list kontaktów, zdjęć, historii aktywności, a nawet haseł 22 tysięcy użytkowników.
  4. Marriott International — operator międzynarodowej sieci hoteli stracił aż 500 milionów rejestrów w następstwie ataku chińskiej grupy hakerskiej w 2018 roku. Wśród przejętych danych były imiona i nazwiska klientów, dane pochodzące z paszportów, adresy e-mail, numery telefonu, adresy zamieszkania i inne poufne informacje.
  5. Friend Finder Networks — dokonany w 2016 roku atak hakerski poskutkował kradzieżą ponad 410 milionów rejestrów. Mimo że nie było wśród nich szczegółowych i stricte poufnych danych osobowych, wciąż pozwalały one ustalić tożsamość użytkowników serwisu.

Wskazówka: jak chronić się przed naruszeniem ochrony danych

Istnieje parę sposobów pozwalających zminimalizować skutki potencjalnego naruszenia ochrony danych. Należą do nich:

Unikalne danych logowania do poszczególnych kont

W przypadku ataku hakerskiego stosowanie pojedynczego hasła do wielu kont może skutkować jednoczesnym włamaniem na wszystkie z nich. Warto też skorzystać z solidnego menedżera haseł, by automatycznie wygenerować trudne do złamania, unikalne hasła do poszczególnych serwisów.

Uwierzytelnianie dwuskładnikowe (2FA)

Jeśli nawet dojdzie do kradzieży danych logowania, ale użytkownik stosuje na kontach uwierzytelnianie dwuskładnikowe, przestępcy praktycznie nie będą w stanie uzyskać do niego dostępu.

Narzędzia monitorujące ryzyko kradzieży tożsamości

Tego typu narzędzia ostrzegają użytkownika w przypadku wykrycia jego danych osobowych w serwisach handlujących tego rodzaju informacjami, wnioskach pożyczkowych, wpisach na portalach społecznościowych, umowach o dostawę mediów i w innych źródłach. Pozwala to podjąć bezzwłoczne działania i zniwelować szkody spowodowane próbą kradzieży tożsamości.

Monitor naruszeń ochrony danych i Elasticsearch – częste pytania

? Jaki obszar Internetu skanuje monitor naruszeń ochrony danych?

Początkowo 100%, ale dokładność skanowania zawężana jest do 0,06%. Raz w tygodniu skanujemy całą zawartość Internetu, wyszukując adresy IP, które prawdopodobnie wykorzystują Elasticsearch (mniej więcej 250 tys. adresów). W ten sposób zawężamy pole obserwacji do najważniejszych 0,06% serwerów, które skanujemy regularnie w celu dostarczania jak najbardziej aktualnych informacji.

? Do czego służy monitor naruszeń ochrony danych?

Monitor naruszeń ochrony danych jest znakomitym narzędziem do oceny podatności na ataki serwerów na całym świecie i analizy możliwości udoskonalania zabezpieczeń baz danych. Biorąc pod uwagę ogromną ilość wrażliwych na ataki baz danych, mamy nadzieję, że narzędzie skłoni do działania zarówno firmy, jak i inne podmioty przechowujące poufne dane na słabo zabezpieczonych serwerach. Warto pamiętać, że uśredniony koszt związany z naruszeniami ochrony danych na świecie wynosi nieco poniżej 4 mln dolarów, w najlepszym interesie firm byłoby jak najszybsze zabezpieczenie swojej infrastruktury.

? Czym jest Elasticsearch?

Elasticsearch to wyszukiwarka baz danych umożliwiająca sortowanie i wyszukiwanie różnych rodzajów danych. Narzędzie posiada wiele zastosowań, w tym wyszukiwanie aplikacji, gromadzenie danych statystycznych, monitorowanie wydajności i analizowanie zabezpieczeń. Użytkownicy Elasticsearch chwalą sobie przede wszystkim szybkość wyszukiwarki i zdolność przesiewania ogromnych ilości danych w ciągu milisekund. Jest to też obecnie jedna z najpopularniejszych wyszukiwarek baz danych na świecie.

? Czym jest atak Meow?

Tym terminem określa się szczególnie destrukcyjne rodzaje cyberataków, które w przeciwieństwie do innych form cyberprzestępstw nie są motywowane zyskiem. Tego rodzaju atak polega na wyszukiwaniu niezabezpieczonych baz danych i kasowaniu całej ich zawartości, pierwotnie pozostawiając frazę „Meow” jako jedyny znak rozpoznawczy sprawcy. Ataki Meow dotyczyły nie tylko baz danych Elasticsearch, ale również MongoDB, Cassandra, Hadoop i innych.

? Jakie rodzaje cyberataków zagrażają serwerom?

Oprócz wspomnianych wyżej ataków Meow, istnieje wiele rodzajów zagrożeń wymierzonych w serwery, w tym:

  • Ataki typu DoS (denial of service) — polegają na zalaniu serwera sztucznie wygenerowanymi zapytaniami, powodując jego przeciążenie i tymczasowo wstrzymując jego działanie.
  • Ataki typu brute force — polegają na błyskawicznym generowaniu i podstawianiu możliwych haseł, by uzyskać dostęp do konta z wysokim poziomem uprawnień do zarządzania serwerem.
  • Ataki typu directory traversal — wykorzystują luki w systemie zezwoleń dostępu umożliwiające napastnikowi przeniknięcie poza katalog publiczny w sieci web i potencjalnie wykonywanie komend lub zlokalizowanie poufnych danych.
  • Ataki typu defacement — polegają na umieszczeniu w bazie danych złośliwych lub niezwiązanych z jej przeznaczeniem danych, tak aby jej użytkownicy napotkali później „podstawioną” zawartość.

? Jakie są inne rodzaje otwartych baz danych w Internecie?

Praktycznie każda baza danych może być słabo zabezpieczona i podatna na ingerencje z zewnątrz. Do najczęściej atakowanych rodzajów baz danych należą jednak MongoDB, Cassandra, Hadoop i Jenkins.

? Jak rozwiązać problem niezabezpieczonych baz danych?

Elasticsearch zawiera szereg wbudowanych mechanizmów uwierzytelniania użytkowników, tak aby tylko określone osoby mogły się zalogować i wyświetlać dane na serwerze. Taki rodzaj ochrony nie jest jednak wystarczający, gdyż indywidualni użytkownicy powinni mieć dostęp wyłącznie do niezbędnych im danych w oparciu o system uprawnień. W terminologii Elasticsearch nazywa się to mechanizmem kontroli dostępu opartym na rolach (RBAC) i polega na przypisywaniu szczegółowych ról i uprawnień dla zwiększenia bezpieczeństwa danych.

Naturalnie, problem cyberbezpieczeństwa sięga o wiele głębiej, jednak wprowadzenie bardziej zaawansowanego uwierzytelniania byłoby dobrym krokiem na drodze do ochrony baz danych.

? Jak działa monitor naruszeń ochrony danych?

Nasz monitor naruszeń ochrony danych skanuje sieć internetową w tygodniowych odstępach, wyszukując niezabezpieczone bazy danych Elasticsearch, które są szczególnie podatne na ataki (lub padły już ich ofiarą). Narzędzie gromadzi i udostępnia pozyskane informacje w formie wykresów z wieloma zmiennymi, by umożliwić dokładniejszą analizę wskazanego przedziału czasu.

Udostępniaj i wspieraj

WizCase jest niezależnym serwisem z recenzjami. Nasza działalność jest wspierana przez czytelników i możemy też otrzymywać prowizje od zakupów dokonywanych przy użyciu linków na naszej stronie. Użytkownik nie ponosi dodatkowych kosztów przy zakupie za pośrednictwem naszej witryny, gdyż prowizja pochodzi bezpośrednio od właściciela produktu.

Wesprzyj WizCase, aby pomóc nam w dostarczaniu uczciwych i bezstronnych porad. Udostępnij naszą witrynę, aby nas wspomóc!