Elastic DB-databrud
Sidste 30 dageFor at kunne fremhæve cybertrusler i kritiske globale industrier undersøger WizCase-teamet løbende cybersikkerheden. I nogle af vores nye undersøgelser så vi på datalækager i medicinalindustrien og datalækager i onlineuddannelse, som begge er kritiske og stærkt oversete. Efter at have set på flere specifikke brancher, mente vi, at det var en god idé at analysere generelle serverbrud, der kan påvirke alle virksomheder, der kører databaser. I løbet af de sidste 10 år har der været over 300 databrud på servere, der indeholder over 100.000 optegnelser – enorme mængder data, der kan skabe kaos hos både virksomheder og deres brugere.
Sporede variabler
Værktøjet sporer og viser flere variabler, som afslører alvoren og størrelsen af globale overtrædelser:
-
Analyseret tidsperiode:
Angiv manuelt et tidsrum, som serveranalyser skal vises for.
-
Samlet antal scannede servere:
Det samlede antal scannede servere i den angivne tidsperiode.
-
Samlet antal igangværende Elasticsearch-forekomster:
Hvor mange af de scannede servere kørte en Elasticsearch-database.
-
Samlet antal servere, som er tilgængelige uden tilladelse:
Hvor mange Elasticsearch-databaser, der var tilgængelige uden sikker godkendelse.
-
En oversigt over sikre vs. usikre servere:
Hvilken procent af databaser, som var tilgængelige uden sikker godkendelse, krævede en adgangskode eller blokerede adgang fuldstændigt.
-
Procentdele af serverstørrelse:
Hvilken procentdel af scannede Elasticsearch-databaser, som var under 1 GB, mellem 1-100 GB eller over 100 GB.
-
Samlet antal udsatte optegnelser på servere, som er tilgængelige uden tilladelse:
Antallet af offentligt tilgængelige filer fra alle ubeskyttede Elasticsearch-databaser i en given periode.
-
Samlet antal servere tilgængelige uden tilladelse ramt af dårlige aktører:
Hvor mange usikre servere, der var mål for angreb som Meow, hvilket resulterede i datatyveri eller -sletning.
De mest almindelige trusler efter et databrud (for de udsatte)
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
Tyveri
—Stjålne data kan bruges til direkte økonomisk gevinst, hvis bl.a. kreditkortoplysninger stjæles, eller de kan bruges til identitetstyveri, hvis følsomme personlige oplysninger opfanges.
-
Blackmail
—Angribere kunne bruge de stjålne oplysninger til at blackmaile udsatte parter, især med følsomme sundheds- eller økonomiske oplysninger.
-
Kontoovertagelse
—Stjålne oplysninger kan bruges til at få adgang til konti på forskellige tjenester, hvis identiske loginoplysninger bruges, eller til at få adgang til den konto, der er knyttet til den udbyder, som er udsat.
-
Phishing/Scam
—Hvis der indsamles tilstrækkelig personlige oplysninger, kan de bruges til at skræddersy meget effektive phishing-angreb eller svindel. Det kan narre folk til at afsløre endnu mere følsomme data som kreditkort- eller bankoplysninger.
Omkostninger ved databrud for virksomheder
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
Juridiske konsekvenser
—Da mange virksomheder har en global karakter, betyder et databrud muligvis juridiske problemer i flere jurisdiktioner. Det kan resultere i ekstreme juridiske omkostninger, der endda kan udgøre en trussel for virksomhedens eksistens.
-
Skade af omdømme
—Tab af kundetillid efter en betydelig overtrædelse vil nok være enorm. Kunder stoler på, at virksomheder holder data trygt opbevaret, så når de ikke formår at gøre det, er der mange, som hellere vil være kunder et andet sted. Faktisk er de gennemsnitlige omkostninger for forretningstab efter et databrud ca. 1,4 $ millioner.
-
Tyveri
—Fra intellektuel ejendom til økonomiske detaljer kan stjålne data føre til betydelige tab i forskellige former.
-
Bøder
—Manglende overholdelse af love omkring databeskyttelse har en mere direkte omkostning i form af bøder. For eksempel resulterede 2017-bruddet på Equifax i, at den amerikanske Federal Trade Commission bød selskabet op til 700 millioner dollars.
Top 5 største databrud i historien
De nuværende største databrud i historien har påvirket flere af de største og mest betroede virksomheder, der har eksisteret. Det er ingen overraskelse, at 2/3 af folk online fik deres optegnelser stjålet eller kompromitteret i 2018.
Det er værd at bemærke, at alle de berørte topvirksomheder er amerikanske, hvor de gennemsnitlige omkostninger ved et databrud er betydeligt højere end globalt på 8,2 millioner USD.
-
Yahoo — Yahoo fik et forbløffende antal optegnelser stjålet – nemlig 3 milliarder (alle konti, der eksisterede på tjenesten på det tidspunkt), da de blev hacket i 2013. Dette omfattede navne, e-mailadresser og adgangskoder. De blev hacket igen i 2014, hvor nogen stjal 500 millioner optegnelser.
-
First American Corporation — Tjenesteudbyderen til forsikring og afvikling fik udsat 885 millioner optegnelser på grund af dårlig sikkerhed, bl.a. personnumre, kørekort og mere.
-
Facebook — Dårlig sikkerhed førte til, at 540 millioner optegnelser blev lækket i 2019, som fx kontonavne, detaljer om kommentarer, indlægsreaktioner, venner, billeder, indtjekninger og endda adgangskoder til 22.000 brugere.
-
Marriott International — Hotelkæden mistede 500 millioner optegnelser, da en kinesisk gruppe hackede det i 2018. Dette omfattede navne, pasoplysninger, e-mails, telefonnumre, adresser og mere.
-
Friend Finder Networks — Et angreb resulterede i tyveri af mere end 410 millioner optegnelser i 2016. Selvom det ikke afslørede detaljerede personlige oplysninger, kunne det stadig bekræfte, hvem der havde været et stedmedlem.
Tips: Sådan beskytter du dig mod databrud
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
Har unikke loginoplysninger for hver konto
Hvis du bruger den samme adgangskode igen og igen på flere konti, kan et databrud på én resultere i brud på flere konti på én gang. Brug en pålidelig adgangskodeadministrator, så du får en stærk og unik adgangskode til alle tjenester..
Brug tofaktorgodkendelse (2FA)
Hvis dine loginoplysninger stjæles i et databrud, men du har tofaktorgodkendelse aktiveret, er det næsten umuligt for angriberen at få adgang til din konto uden den ekstra kode
Opret et værktøj til overvågning af identitet
Det advarer dig, når dine personlige oplysninger vises på en stjålet datawebsite eller i låneansøgninger, indlæg på sociale medier, ordrer på forsyningsselskaber og mere. På denne måde kan du reagere hurtigt, hvis du opdager, at visse af dine data er blevet stjålet.
FAQ: Tracker til databrud og Elasticsearch
Hvor meget af internettet kan trackeren til databrud dække?
Oprindeligt 100%, men vi indsnævrer det til 0,06%. Én gang om ugen scanner vi hele internettet for at søge efter IP-adresser, som sandsynligvis kører Elasticsearch – ca. 250.000 i alt. På den måde indsnævrer vi hele nettet til de relevante 0,06%, som vi scanner regelmæssigt, så vi er så opdateret som muligt.
Hvad kan tracker til databrud bruges til?
Tracker til databrud er en fantastisk måde at vurdere globale serversårbarheder på og analysere, hvordan databasesikkerhed kan forbedres på verdensplan. Når man ser det enorme antal sårbare databaser, håber vi på, at det kan være en brat opvågning for de virksomheder og industrier, der opbevarer følsomme data på en usikker server. Hvis man tager et kig på de gennemsnitlige omkostninger ved et databrud globalt, ligger det på ca. 4 millioner dollars, kan man bedre forstå vigtigheden af at sikre virksomheders sårbare databaser så hurtigt som muligt.
Hvad er Elasticsearch?
Elasticsearch er en database, der bruges til at sortere og søge gennem forskellige datatyper. Den kan anvendes til mange forskellige ting som fx applikationssøgning, logningsanalyse, præstationsovervågning og sikkerhedsanalyse. Brugere elsker den især for sin hastighed og evne til at søge gennem store mængder data på millisekunder. Den er på listen over de mest populære databasemotorer i verden.
Hvad er Meow-angreb?
Meow-cyberangrebet er et særligt destruktivt angreb, der i modsætning til mange andre angreb ikke forsøger at tjene penge eller anden fortjeneste. Den leder bare efter usikrede databaser og sletter alt deres indhold og efterlader sit kendeord “Meow” skrevet over hele den berørte database. Det påvirker ikke kun Elasticsearch-databaser, men også MongoDB, Cassandra, Hadoop og mere.
Hvilke typer cyberangreb er målrettet mod servere?
Ud over Meow, som er nævnt ovenfor, er der adskillige typer angreb, der er målrettet mod servere, bl.a.:
- DoS (Denial of Service)-angreb — En angriber overbelaster en server med mere trafik, end den kan håndtere, og derfor går den midlertidigt offline i processen.
- Brute Force-angreb — Ved hurtigt at gætte på et stort antal adgangskoder forsøger disse angreb at få adgang til en konto med avancerede serverrettigheder.
- Directory Traversal — Sårbarheden giver en hacker mulighed for at bevæge sig ud over webkataloget, hvor de potentielt kan udføre kommandoer eller finde følsomme data.
- Website Defacement — En hacker kan sende skadelige eller irrelevante data til en database, så når legitime brugere kun ser det ”ødelagte” resultat af angrebet, når det prøver at få fat i disse data.
Hvilke andre slags databaser er åben på Internettet?
Næsten alle databaser kan efterlades usikret og åben for angreb på internettet. Der er dog nogle, som ofte er åbne for angreb som fx MongoDB, Cassandra, Hadoop og Jenkins.
Hvordan kan usikre databaser fikses?
Elasticsearch indeholder et antal indbyggede mekanismer til brugergodkendelse, så kun godkendte brugere kan logge ind og se data på serveren. Det er da ikke nok I sig selv, da brugere skal have relevante tilladelser, så de kun kan se data, som de er kvalificerede til at se. I Elasticsearch er det kendt som “rollebaseret adgangskontrolmekanisme” (role-based access control mechanism eller RBAC). Det betyder stort set, at alle brugere tildeles en rolle og relaterede tilladelser for øget datasikkerhed.
Selvfølgelig går sikkerhed meget dybere end det, men med mere avancerede opsætninger til godkendelse ville mange servere allerede være meget mere sikre.
Hvordan fungerer denne tracker til databrud?
Vores tracker til databrud scanner nettet hver uge og søger specifikt usikrede Elasticsearch-databaser, som potentielt er blevet udsat for angreb (eller allerede har været det). Derefter gemmer den disse data og gør dem tilgængelige i form af en detaljeret graf med flere variabler. På den måde kan du analysere den nøjagtige tidsperiode og data, du vil.
