Изъяны и недочеты конфигурации приложений big data ставят под угрозу в общей сложности более петабайта данных — к такому выводу пришли в швейцарской ИБ-компании BinaryEdge. Проведя небольшое сканирование, эксперты обнаружили, что многочисленные инстанции архивов Redis доступны без аутентификации, как и данные, содержащиеся более чем в 39 тыс. баз данных MongoDB NoSQL. На базе своего исследования компания собирается создать коммерческий продукт — автоматическую систему, осуществляющую мониторинг использования открытых баз данных на предприятии.

Более 118 тыс. инстанций системы Memcached, реализующей кэширование данных многочисленных серверов в оперативной памяти, могут быть похищены. Кроме того, более 8 тыс. инстанций серверов Elasticsearch оказались восприимчивы к сканированию.

По мнению экспертов, версии используемого ПО зачастую являются устаревшими и давно не обновлялись, что подвергает риску утечки не только данные, хранящиеся в оперативной памяти, но и сами сервера. Компании, использующие подобные системы, только учатся пользоваться технологиями, которые не всегда защищены.

Как считает глава BinaryEdge Тьяго Энрикес (Tiago Henriques), проблема почти всегда заключается не в изъянах кода, а в ошибках, совершенных при конфигурировании. Например, межсетевые экраны и другие технологии защиты зачастую внедрены некорректно, что подвергает сервера опасности. В BinaryEdge решили не тревожить разработчиков продуктов — в случае атаки на сервера в возможной утечке будут повинны сами компании, игнорирующие предписания безопасности.

Небрежное отношение к защите серверов свойственно как предприятиям малого бизнеса, так и компаниям из списка Fortune 500. Некоторые сервера также используются для кэширования, и в случае их компрометации хакеры могут получить доступ к различным типам корпоративных данных — например, к сессиям аутентификации.

Энрикес детально объяснил суть проблемы следующим образом: «Мы не получили доступ к самим данным, но провели небольшой анализ названий баз данных и ключей. Мы зондировали сервера, посылая запросы на получение информации о версии базы данных, ее названии и размере. Мы также обнаружили, что некоторые логины, пароли и токены сессий могут быть использованы для доступа к другим активным сессиям. Базы данных фармацевтических компаний и клиник имеют названия «patient» и «doctor-list», а базы банков — «coin» и «money». Один из разработчиков робототехники, например, в своей открытой базе оставил названия конфиденциальных проектов».

«При проведении исследования такого рода мы собираемся бесплатно уведомлять компании о наличии риска утечек из открытых баз данных, ведь в Сеть может утечь критически важная информация, — отметил Энрикес. — Уведомляя организации, мы будем предлагать нашу систему под названием Timelines для сканирования и мониторинга периметра Сети».

Категории: Другие темы