Специалисты компании DeviceLock изучили свыше 1,9 тыс. серверов в российском сегменте интернета, использующих облачные базы данных MongoDB, Elasticsearch и Yandex ClickHouse, и пришли к выводу, что получить доступ к 52% из них можно было без авторизации. Об этом пишет "Коммерсант" со ссылкой на отчет компании.
Как отмечают в DeviceLock, такие базы весьма популярны, но часто неправильно конфигурируются из-за низкой квалификации администраторов этих баз данных. При этом 10% проверенных открытых баз содержали персональные данные россиян или коммерческую информацию компаний, а еще 4% уже были взломаны хакерами, которые требовали выкуп за возвращение данных.
По словам основателя и технического директора DeviceLock Ашота Оганесяна, по содержимому открытой базы данных не всегда можно идентифицировать ее владельца, а хостинг-провайдеры не выдают такую информацию. Из-за этого специалисты не могут сообщить владельцу базы о необходимости закрыть доступ к ней. Кроме того, владельцы баз, получившие предупреждения, довольно медленно реагируют на них.
"Известны неединичные случаи, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения", – рассказал Оганесян.
Собеседники издания на рынке назвали оценки DeviceLock реалистичными. "Компрометация данных на облачных хранилищах происходит из-за низкой квалификации администраторов – зачастую они забывают поменять настройки по умолчанию и защитить сервер паролем. То есть стремление обеспечить более удобное хранение данных и сократить издержки, к сожалению, не сопровождается адекватными мерами защиты", – сообщил аналитик InfoWatch Андрей Арсентьев. По его словам, крупнейшей утечкой данных с незащищенного сервера остается утечка в маркетинговой компании verifications.io, в результате которой было скомпрометировано 2 млрд записей. Более мелкие утечки такого рода происходят регулярно.
В свою очередь эксперт лаборатории практического анализа защищенности "Инфосистемы Джет" Екатерина Рудая уточнила, что проблема защиты облачных баз данных распространена среди небольших компаний, которые часто внедряют решения, сделанные "на коленке".
"В подобных организациях может быть заведена одна учетная запись на всех сотрудников для доступа к базе данных. Такие учетные записи обычно никто не администрирует, и в случае увольнения сотрудника, имеющего к ним доступ, не исключено, что никто не озаботится сменой пароля", – уточнила Рудая.