DeviceLock изучила более 1,9 тыс. серверов в российском сегменте интернета, использующих облачные базы данных MongoDB, Elasticsearch и Yandex ClickHouse. Более половины из них (52%) предоставляли возможность неавторизованного доступа, сообщили “Ъ” в компании. Эти облачные базы данных популярны и чаще всего неправильно конфигурируются, считают в DeviceLock. 10% из них при этом содержали персональные данные россиян или коммерческую информацию компаний, а еще 4% уже были до этого взломаны хакерами и получали требования о выкупе.
Главной причиной неавторизованного доступа к облачным базам данных становятся ошибки конфигурации из-за низкой квалификации администраторов этих баз данных, полагает основатель и технический директор DeviceLock Ашот Оганесян. Кроме того, говорит он, по содержимому открытой базы данных не всегда можно идентифицировать ее владельца, а хостеры не выдают такую информацию, потому непонятно, кому сообщить о том, что доступ к ней нужно закрыть. Наконец, сами владельцы таких баз медленно реагируют на оповещения о необходимости закрыть доступ к данным. «Известны неединичные случаи, когда обнаруженные нами открытые базы данных находились и скачивались хакерами уже после нашего оповещения»,— подчеркивает господин Оганесян.
DeviceLock приводит в пример оказавшуюся в открытом доступе базу сервиса автообзвона «Звонок» (zvonok.com). База объемом 21 Гб (29 млн записей) содержала телефонные номера и записи звонков. Проблема с базой данных была устранена 4 апреля, все скомпрометированные ключи заменены, а потенциально пострадавшие пользователи оповещены, причины происшествия выясняются, сообщили “Ъ” в самом «Звонке». Кроме того, на прошлой неделе стало известно, что в открытом доступе оказались данные московских станций скорой медицинской помощи объемом более 17 Гб с именами, адресами и телефонами пациентов.
Оценки DeviceLock выглядят реалистично, считают опрошенные “Ъ” эксперты. «Компрометация данных на облачных хранилищах происходит из-за низкой квалификации администраторов — зачастую они забывают поменять настройки по умолчанию и защитить сервер паролем. То есть стремление обеспечить более удобное хранение данных и сократить издержки, к сожалению, не сопровождается адекватными мерами защиты»,— констатирует аналитик InfoWatch Андрей Арсентьев. Самой крупной утечкой данных с незащищенного сервера пока остается инцидент в маркетинговой компании verifications.io, в результате которого было скомпрометировано 2 млрд записей, напоминает он.
Такие проблемы распространены среди небольших компаний, которые часто внедряют решения, сделанные «на коленке», указывает эксперт лаборатории практического анализа защищенности «Инфосистемы Джет» Екатерина Рудая. «В подобных организациях может быть заведена одна учетная запись на всех сотрудников для доступа к базе данных. Такие учетные записи обычно никто не администрирует, и в случае увольнения сотрудника, имеющего к ним доступ, не исключено, что никто не озаботится сменой пароля»,— поясняет она.
Случаи похищения данных из облачных баз данных происходят регулярно, подтверждает операционный директор центра мониторинга и реагирования на кибератаки «Ростелеком-Solar» Антон Юдаков. При этом если в украденной базе не содержится интересной информации, то злоумышленники и вовсе могут удалить ее, чтобы потребовать деньги за то, чтобы вернуть ее владельцам, говорит он.
Кристина Жукова