Violazioni di DB Elastic
Ultimi 30 giorniPer evidenziare le minacce informatiche in industrie globali importanti, il team di WizCase sta attualmente portando avanti una sua ricerca nel campo della sicurezza informatica. Con alcune delle nostre ricerche recenti, abbiamo osservato perdite dati nel settore medico e nel campo della didattica online, due campi molto importanti e seriamente trascurati. Avendo controllato diversi settori specifici, abbiamo pensato che fosse utile analizzare le violazioni server più generali che possono colpire qualsiasi azienda possieda dei database. Negli ultimi 10 anni, si sono verificate oltre 300 violazioni dei dati su server contenenti oltre 100.000 file: una quantità enorme di dati che, in caso di perdita, può seminare il caos sia nelle aziende che tra gli utenti.
Variabili analizzate
Lo strumento traccia e mostra diverse variabili per esporre la gravità e l'importanza delle violazioni globali:
-
Periodo di tempo analizzato:
inserisci manualmente un periodo di tempo per cui vuoi mostrare i dati analizzati del server.
-
Numero totale di server scansionati:
il numero completo dei server scansionati nel periodo di tempo indicato.
-
Numero totale di casi Elasticsearch in corso:
quanti dei server scansionati implementano un database Elasticsearch.
-
Numero totale di server accessibili senza autorizzazione:
quanti database Elasticsearch sono stati lasciati accessibili senza un’autenticazione sicura.
-
Un'analisi dettagliata di server sicuri e non:
che percentuale dei database era accessibile senza autenticazione sicura, richiedeva una password o presentava un accesso completamente bloccato.
-
Percentuali di dimensione del server:
quale percentuale dei database scansionati è al di sotto di 1GB, tra 1 e 100GB, od oltre i 100GB.
-
Numero totale di dati esposti nei server accessibili senza autorizzazione:
il numero dei file pubblicamente accessibili da tutti i database Elasticsearch non protetti in un dato periodo di tempo.
-
Numero totale di server accessibili senza autorizzazione colpiti da malintenzionati:
quanti server non protetti sono stati colpiti da attacchi tipo Meow, risultanti in furto o cancellazione dei dati.
Le minacce più comuni dopo la violazione dei dati (per chi è stato coinvolto)
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
Furto
—i dati rubati possono essere usati per produrre un guadagno finanziario diretto in caso di furto di informazioni della carta di credito, oppure per furti di identità in caso di informazioni personali.
-
Ricatto
—chi ha compiuto l’attacco può utilizzare le informazioni acquisite per ricattare le parti esposte, soprattutto con informazioni sensibili sulla salute o finanziarie.
-
Account takeover
—le informazioni trafugate possono essere usate per accedere ad account relativi a diversi servizi in cui
-
Phishing/frodi
—se viene raccolta una quantità di informazioni sufficiente, queste possono essere usate per creare degli attacchi phishing e delle frodi altamente personalizzate ed efficaci. Queste possono portare le persone a rilevare dati ancora più sensibili come le informazioni bancarie o della carta di credito.
Costo delle violazioni dei dati per le aziende
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
Conseguenze legali
—con la natura globale di molte attività, una violazione dei dati può risultare in problemi legali in diverse giurisdizioni. Il tutto può portare ad enormi spese legali che possono addirittura minacciare l’esistenza stessa dell’azienda.
-
Danni alla reputazione
—la perdita di fiducia da parte dei clienti dopo una violazione dei dati è di solito enorme. I clienti si affidano alle aziende per tenere al sicuro i loro dati, così quando le stesse falliscono in questo compito ci sono buone probabilità che il cliente si rivolga altrove. Infatti, l’importo medio della perdita subita a seguito di una violazione dei dati è di circa 1,4 milioni di dollari.
-
Furto
—dalla proprietà intellettuale alle informazioni finanziarie, i dati rubati possono portare a perdite considerevoli di diversi tipi.
-
Sanzioni
—l’incapacità di perseguire le norme sulla protezione dei dati possono portare all’emissione di sanzioni. Per esempio, nel 2017 la violazione dei dati di Equifax porto la Federal Trade Commission statunitense ad emettere una sanzione di 700 milioni di dollari a carico dell’azienda.
Le 5 più grandi violazioni dei dati di sempre
Le violazioni dei dati più importanti della storia hanno colpito alcune tra le più grandi e fidate aziende al mondo. Non sorprende che, nel 2018, due terzi delle persone con accesso a internet avessero subito un furto o una compromissione dei loro dati.
Vale la pena notare che tutte le grandi aziende colpite hanno sede in America, dove il costo medio di una violazione dei dati, pari a 8,2 milioni di dollari, è significativamente più alto rispetto al resto del mondo.
-
Yahoo: Yahoo subì l’impressionante furto di 3 miliardi di file (tutti account relativi al servizio di quel tempo) quando fu colpita da un attacco hacker nel 2013. Il furto includeva nomi, indirizzi e-mail e password. L’azienda fu violata nuovamente nel 2014 e qualcuno si impossessò di 500 milioni di dati.
-
First American Corporation: questo fornitore di servizi di assicurazione e liquidazione perse 885 milioni di file a causa di una scarsa sicurezza, i dati includevano numeri di previdenza sociale (SSN), patenti e altro.
-
Facebook: una sicurezza poco efficace portò alla perdita di 540 milioni di dati nel 2019, con nomi account, commenti, reazioni ai post, amici, foto, check-in e persino password di 22.000 utenti.
-
Marriott International: la catena alberghiera perse 500 milioni di dati a seguito di un attacco hacker portato avanti da un gruppo cinese nel 2018. Tra i dati vi erano nomi, informazioni del passaporto, e-mail, numeri di telefono, indirizzi e altre informazioni.
-
Friend Finder Networks: un attacco risultò nel furto di oltre 410 milioni di file nel 2016. Nonostante non fu rivelata alcuna informazione personale, dai dati era possibile capire chi fosse membro del sito.
Consigli: come proteggerti dalle violazioni dei dati
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
Usare credenziali uniche per ogni account
Utilizzando la stessa password per diversi account, a seguito di una violazione dati potresti trovarti con più account violati. Utilizza un gestore password affidabile in modo da avere una password utile ed efficace per ogni servizio.
Usa l’autenticazione a due fattori (2FA)
Se le tue credenziali vengono rubate a seguito di una violazione, ma hai attivato la 2FA, sarà quasi impossibile per gli hacker accedere al tuo account senza un codice aggiuntivo.
Configura uno strumento di monitoraggio dell’identità
Questo ti avviserà quando le tue informazioni personali compaiono su un sito che riporta i dati rubati, oppure in applicazioni, post di social media, ordini per utente e altro. In questo modo potrai agire non appena ti accorgerai che i tuoi dati sono stati rubati.
FAQ: tracker delle violazioni dei dati ed Elasticsearch
Che percentuale del web viene scansionata dal tracker delle violazioni dei dati?
Inizialmente il 100%, ma restringiamo il campo fino allo 0,06%. Una volta a settimana scansioniamo l’intero web in cerca di indirizzi IP che utilizzano Elasticsearch: circa 250.000 in totale. In questo modo restringiamo la ricerca fino allo 0,06%, scansionando questa percentuale regolarmente per rimanere più aggiornati possibile.
Cosa può fare il tracker di violazioni dei dati?
Il tracker di violazioni dei dati è un modo fantastico per valutare le vulnerabilità dei server globali e analizzare come la sicurezza dei database mondiali può essere migliorata. Dato l’enorme numero di database sensibili, speriamo che possa fungere da campanello d’allarme per le imprese e per chiunque conservi dei dati sensibili su un server non sicuro. Considerato che il costo medio mondiale di una violazione dei dati è poco inferiore ai 4 milioni di dollari, per le aziende è fondamentale proteggere i database vulnerabili nel modo più rapido possibile.
Che cos’è Elasticsearch?
Elasticsearch è un server di ricerca utilizzato per ordinare e cercare diversi tipi di dati. Viene utilizzato per diversi scopi, come la ricerca di applicazioni, l’analisi dei dati d’accesso, il monitoraggio delle prestazioni e l’analisi della sicurezza. I suoi utenti lo apprezzano soprattutto per la sua velocità e la capacità di effettuare ricerche tra enormi quantità di dati in pochi millisecondi. È considerato uno dei più popolari database engine al mondo.
Che cos’è un attacco Meow?
Gli attacchi informatici conosciuti con il nome “Meow” sono particolarmente distruttivi e, diversamente da altri attacchi, non vengono lanciati per ottenere un profitto. Si limitano semplicemente a cercare database non sicuri e a cancellare tutto il loro contenuto, lasciando dietro di sé unicamente la loro firma “Meow” su tutto il database colpito. Non colpisce solo i database Elasticsearch, ma anche MongoDB, Cassandra, Hadoop e altri.
Quali sono gli attacchi informatici che colpiscono i server?
Oltre al Meow, menzionato sopra, esistono numerosi tipi di attacchi che colpiscono i server, tra cui:
- Attacchi DoS (Denial of Service): l’attacco riversa sul server una mole di traffico superiore a quella che può gestire, facendolo disconnettere.
- Attacchi di forza bruta: inserendo rapidamente un enorme numero di password questi attacchi tentano di ottenere l’accesso ad account con privilegi server elevati.
- Directory Traversal: sfruttando delle vulnerabilità, chi lancia l’attacco si muove dietro la web directory, dove può potenzialmente eseguire comandi o individuare dati sensibili.
- Defacing dei siti web: gli attacchi di questo tipo inseriscono dati dannosi o irrilevanti all’interno del database, in modo che gli utenti li richiamino visualizzando un sito modificato.
Quali altri tipi di database vengono lasciati aperti sul web?
Quasi tutti i database possono essere lasciati non protetti e aperti ad attacchi sul web. Tuttavia, alcuni sono più frequentemente esposti, come i MongoDB, Cassandra, Hadoop e Jenkins.
Come si può proteggere un database non sicuro?
Elasticsearch include diversi meccanismi integrati per l’autenticazione degli utenti, quindi solo gli utenti approvati possono accedere e consultare i dati sul server. Tuttavia, questo non basta, in quanto agli utenti devono essere dotati dei privilegi rilevanti in modo che possano vedere solo i dati che sono autorizzati a consultare. Nell’ambiente Elasticsearch questo prende il nome di “role-based access control mechanism” (RBAC): in pratica, ad ogni utente viene assegnato un ruolo e dei privilegi annessi per una sicurezza dati intensificata.
Ovviamente, il discorso sicurezza va molto più approfondito, ma con configurazioni di autenticazione più avanzate, molti server sarebbero più sicuri.
Come funziona il tracker delle violazioni dei dati?
Il nostro tracker delle violazioni dei dati scansiona il web ogni settimana, alla ricerca specifica di database Elasticsearch non sicuri e potenzialmente violabili (o che sono già stati violati). Successivamente raccoglie queste informazioni e le rende disponibili sotto forma di grafico dettagliato con diverse variabili in modo che tu possa analizzare il periodo di tempo e i dati che desideri.
