Новости / апрель 2019
Базы данных беззащитны

© ComNews
12.04.2019

Компания DeviceLock проверила облачные базы данных российского интернета на безопасность. Аналитики компании исследовали более 1900 серверов, которые используют платформы MongoDB, Elasticsearch и Yandex ClickHouse. Более половины из них (52%) предоставляли возможность неавторизованного доступа, 10% содержали персональные данные россиян или коммерческую информацию компаний, а 4% из них уже взломали хакеры и потребовали выкуп.

Среди обнаруженных и идентифицированных баз данных оказались база клиентов финансового брокера "Финсервис" объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию по выданным займам; база сервиса автообзвона "Звонок" объемом 21 Гб, содержащая телефонные номера и записи звонков; данные московских станций скорой медицинской помощи объемом более 17 Гб (содержала всю информацию по вызовам бригад скорой помощи, включая имена, адреса и телефоны пациентов), база российского телемедицинского сервиса DOC+ объемом более 3 Гб; базы данных информационной системы "Сетевой Город. Образование", содержащие персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии, а также клиентские базы различных e-commerce-проектов.

По мнению основателя и технического директора DeviceLock Ашота Оганесяна большую проблему представляет идентификация владельца "открытой" базы данных, которая не всегда возможна по ее содержимому. "Мы обнаруживаем открытую базу, содержащую персональные данные, и не понимаем, кому сообщить о том, что доступ к ней нужно закрыть. Хостеры не выдают данные владельцев, да и в принципе часто считают, что пользовательские ошибки конфигурации - не их проблема", - рассказал Ашот Оганесян.

Кроме того, владельцы таких баз крайне медленно реагируют на оповещения. "К сожалению, когда мы связываемся с владельцами, сообщаем им о необходимости закрыть доступ к данным, подавляющее большинство из них реагирует слишком медленно или не реагирует вовсе. И мне известно несколько случаев, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения", - добавил он.

В разговоре с корреспондентом ComNews Ашот Оганесян сообщил, что вскоре компания обратиться в Роскомнадзор с предложением выработать процедуру блокировки открытых баз, содержащих персональные данные. "Точный срок пока не определили. Сейчас мы готовим письмо. Безусловно, решать проблему нужно срочно. В Рунете тысячи открытых баз, и неизвестно, сколько их еще не обнаружено. Практически каждый день открывается очередная крупная утечка, а никакой системы реагирования на такие инциденты нет", - сказал Ашот Оганесян.

Количество неправильно сконфигурированных баз данных будет расти, уверен он, так как усредненная квалификация ИТ-персонала падает, а число проектов, использующих ту же MongoDB, растет.

"Необязательно сразу же блокировать доступ, но можно создать процедуру, в рамках которой Роскомнадзор получает информацию о наличии такой базы и направляет предписание хостинг-провайдеру. Хостер уведомляет владельца базы, и тот в установленный срок либо устраняет нарушение, либо доступ к базе блокируется", - предлагает Ашот Оганесян.

В Роскомнадзоре на запрос ComNews на момент публикации материала не ответили. 

Аналитик ГК InfoWatch Андрей Арсентьев подтверждает, что часто не всегда ясно, чья именно база хранится на незащищенном облачном сервере. Здесь на помощь могли бы приходить хостинговые компании, временно блокируя доступ к открытому хранилищу по запросу регулятора, до выяснения владельцев данных. "Открытые облачные хранилища опасны тем, что с помощью специальных инструментов, например Shodan, их могут находить не только исследователи, но и злоумышленники, которые способны стереть данные, потребовать за них выкуп или слить их конкурентам компании - оператора базы", - предостерегает Андрей Арсентьев.

По его словам, проблема компрометации конфиденциальных данных через облачные серверы стоит довольно остро. "Анализируя публичные инциденты, мы посчитали, что число подобных утечек в 2018 г. во всем мире выросло примерно в полтора раза", - говорит Андрей Арсентьев.

Скорее всего, ожидает специалист, в ближайшее время количество утечек данных и обнаружений открытых облачных хранилищ будет расти. Компании по всему миру стремятся сократить издержки в области управления данными и охотно используют облака для удобного хранения информационных активов.

Эксперт отдела консалтинга центра информационной безопасности "Инфосистемы Джет" Александр Морковчин уверен, что работы по блокировке открытых баз данных могли бы проводиться по аналогии с дистанционным контролем интернет-сайтов, который периодически осуществляет Роскомнадзор.

"Напомню, что только в 2018 г. Роскомнадзор заблокировал более 500 ресурсов, нарушающих права граждан на неприкосновенность частной жизни, личную и семейную тайну, а также обрабатывающих персональные данные без правовых оснований. В конечном счете человеку не важно, каким способом распространяется его персональная информация. Опубликована ли она в открытом доступе в интернете или получена путем компрометации некорректно сконфигурированной базы данных", - объясняет Александр Морковчин.

Как отмечает руководитель вирусной лаборатории Avast Якуб Кроустек, проблема на самом деле не новая. "За последние три или четыре года мы стали свидетелями множества атак на базы данных, сайты, учетные записи FTP и прочее. Компании теряют производственные данные, доступ к сайтам или сервисам, репутацию и финансы. Авторы программ-вымогателей ищут новые методы атак, чтобы увеличить свой доход. Вероятно, будет больше атак на самые уязвимые платформы или устройства, такие как IoT", - предполагает эксперт.

Антивирусный эксперт "Лаборатории Касперского" Денис Легезо отмечает, что проблема несанкционированного доступа к системам управления базами данных (СУБД) сейчас очень актуальна.

"Достаточно посмотреть на число установок СУБД, доступных из сети общего пользования и проиндексированных специализированными поисковиками. Для популярных продуктов легко найти десятки тысяч хостов с такими установками. Это не значит, что все из них уязвимы. Это значит, что атакующим, а еще точнее их роботам, есть с чего начать поиск уязвимых хостов", - говорит Денис Легезо.

По его словам, наша зависимость от данных все еще растет, а значит, такие угрозы пока не потеряют актуальности. "Надеюсь, изменится подход к установке продуктов. В первую очередь не стоит открывать лишние порты в сеть общего доступа. Пользователям же остается только разумно подходить к тому, какую информацию они оставляют в интернете", - подытожил Денис Легезо.