В первом квартале 2022 года количество открытых баз данных достигло 91,2 тыс.
Исследователи в области кибербезопасности зафиксировали увеличение числа общедоступных баз данных в интернете — в 2021 году было выявлено 308 тыс. баз данных. В первом квартале 2022 года количество открытых баз данных достигло 91,2 тыс. экземпляров, сообщили эксперты из компании Group-IB.
Доступность баз данных в Сети во многих случаях связана с неправильной настройкой. Хакеры часто ищут подобные базы, используя поисковые системы, с целью кражи контента или финансового вымогательства.
Эксперты просканировали пространство IPv4 на наличие открытых портов, необходимых для доступа к базе данных. Большинство незащищенных экземпляров находятся на серверах в США и Китае, а также в Германии, Франции и Индии.
Что касается системы управления базами данных, используемой в открытых экземплярах, то первое место заняла Redis. MongoDB заняла второе место в первом квартале 2022 года. На Elastic приходится меньшая часть, которая по-прежнему исчисляется десятками тысяч, в то время как в случае MySQL было зафиксировано наименьшее количество доступных баз данных.
По словам ИБ-эксперта Боба Дьяченко, чем более изощренные меры защиты систем управления базами данных (СУБД) вводятся поставщиками, тем выше вероятность неправильной настройки и, следовательно, непреднамеренного раскрытия данных. Назначение баз данных состоит не только в хранении данных, но и в обеспечении немедленного и удобного способа обмена данными. Все больше и больше людей вовлекаются в процессы управления базами данных, и в конечном итоге пытаются упростить и ускорить доступ, поэтому отказ от процесса авторизации в систему часто является для них самым простым и очевидным способом.
Администраторам требуется в среднем 170 дней на обнаружение неправильной конфигурации и устранение проблемы. Время исправления составило 113 дней в третьем квартале 2021 года, но с тех пор оно ухудшилось.
Раскрытие данных приводит не только к потере доверия клиентов и сбоям в бизнесе, но и к крупным штрафам, налагаемым за неспособность защитить конфиденциальную информацию клиентов.
Никаких овечек — только отборные научные факты