В Google Cloud131 из 2064 баз данных (бакетов) настроены неправильно, поэтому их содержимое доступно всем желающим. Найти их также не составляет особого труда, для этого уже разработаны специальные сканеры.
Представительная выборка
Более 6% бакетов (баз данных) Google Cloud настроены некорректно, и их содержимое доступно всем желающим, утверждает фирма Comparitech после изучения свыше 2 тыс. таких ресурсов.
Эксперты компании обнаружили более 6 тыс. сканированных документов, включая паспорта, свидетельства о рождении и другие персональные данные детей из Индии. Еще одна общедоступная база данных принадлежала российскому веб-девелоперу; в ней хранились реквизиты доступа к почтовому серверу и чат-логи.
Исследователи также обнаружили в таких бакетах исходный код к ПО, реквизиты доступа к другим ресурсам и другие сугубо конфиденциальные данные.
Как отметил исследователь Comparitech Пол Бишофф (Paul Bischoff), найти незащищенные базы данных проще простого. У Google есть правила наименования для бакетов в облачных ресурсах: они должны содержать от 3 до 63 символов — чисел, прописных букв, дефисов, подчеркиваний и точек. Плюс названия должны начинаться и заканчиваться с буквы или цифры.
Искать недолго, найти легко
Comparitech воспользовался общедоступным инструментом для сканирования сети для изучения доменных имен 100 топовых сайтов в рейтинге Alexa в комбинации с распространенными словами, которые чаще всего используют для наименования баз данных — «bak», «db», «database» и «users». В итоге за 2,5 часа им удалось обнаружить 2064 базы, из которых 131 оказались уязвимы.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
До 6% баз данных в облаке Google пускают всех желающих
«Незащищенные базы данных выявляются регулярно, нередко уже после утечек с последствиями на миллионы валютных единиц, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Чаще всего страдают базы ElasticSearch и Amazon, но некорректность настройки защиты мало зависит от того, кто разрабатывал базу данных или облачный сервер. Как правило, это именно человеческий фактор».