Elastic db-lekken
Afgelopen 30 dagenOm de cyberbedreigingen in kritische wereldwijde industrieën toe te lichten, heeft het WizCase-team voortdurend onderzoek uitgevoerd op het gebied van cybersecurity. Met ons recentere onderzoek hebben we gekeken naar datalekken in de medische industrie en datalekken in online onderwijs, welke beide erg belangrijk zijn en zeer vaak over het hoofd gezien worden. Na naar meerdere specifieke industrieën gekeken te hebben, vonden we het een goed idee om algemene serverlekken te analyseren, welke invloed kunnen hebben op elk bedrijf met databases. Gedurende de afgelopen 10 jaar zijn er meer dan 300 datalekken van servers met meer dan 100.000 archieven. Dit is een enorme hoeveelheid aan data, wat grote schade kan aanrichten bij bedrijven en hun gebruikers.
Gevolgde variabelen
De tool volgt meerdere variabelen en geeft deze weer om de ernst en omvang van wereldwijde lekken te onthullen:
-
Geanalyseerde tijdsperiode:
voer handmatig een tijdsperiode in waar je serveranalyses van wilt zien.
-
Totaal aantal gescande servers:
het totale aantal servers die in de ingevoerde tijdsperiode gescand zijn.
-
Totaal aantal met lopende Elasticsearch-processen:
hoeveel van de gescande servers hadden een Elasticsearch-database.
-
Totaal aantal servers toegankelijk zonder autorisatie:
hoeveel Elasticsearch-databases waren toegankelijk zonder een beveiligde authenticatie.
-
Een overzicht van veilige vs onveilige servers:
hoeveel procent van de databases waren toegankelijk zonder een beveiligde authenticatie, hadden een wachtwoord nodig of blokkeerden toegang volledig.
-
Percentage van serveromvang:
hoeveel procent van de gescande Elasticsearch-databases waren kleiner dan 1 GB, tussen 1-100 GB of meer dan 100 GB.
-
Totaal aantal blootgestelde archieven bij servers die toegankelijk zijn zonder autorisatie:
het aantal publiekelijk toegankelijke bestanden van alle onbeschermde Elasticsearch-databases tijdens een bepaalde periode.
-
Totaal aantal servers toegankelijk zonder autorisatie die aangevallen zijn door kwaadwillende personen:
hoeveel van de onbeveiligde servers waren het doelwit van aanvallen zoals Meow, wat resulteerde in datadiefstal of –verwijdering.
De meest voorkomende bedreigingen na een datalek (voor degenen die blootgesteld zijn)
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
Diefstal
—gestolen gegevens kunnen gebruikt worden voor rechtstreeks financieel gewin als informatie zoals creditcardgegevens gestolen zijn. Ook kunnen ze gebruikt worden voor identiteitsdiefstal als gevoelige persoonsgegevens verkregen zijn.
-
Chantage
—aanvallers kunnen de verkregen informatie gebruiken om blootgestelde partijen te chanteren, vooral met gevoelige gegevens over gezondheidszorg of financiële gegevens.
-
Overnemen van account
—gestolen gegevens kunnen gebruikt worden om toegang te krijgen tot accounts voor verschillende diensten als identieke inloggegevens gebruikt zijn of om toegang te krijgen tot het account dat gekoppeld is aan de dienstverlener waar het lek heeft plaatsgevonden.
-
Phishing/oplichterij
—als voldoende persoonlijke gegevens verzameld zijn, dan kunnen deze gebruikt worden om zeer effectieve phishing-aanvallen of oplichterijen te creëren. Dit kan personen misleiden om nog meer gevoelige gegevens te onthullen, zoals creditcard- of bankgegevens.
Kosten van datalekken voor bedrijven
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
Juridische consequenties
—met de wereldwijde aard van veel bedrijven, gaat een datalek waarschijnlijk gepaard met juridische problemen in meerdere jurisdicties. Dit kan resulteren in extreme juridische kosten die zelfs het voortbestaan van het bedrijf kunnen bedreigen.
-
Reputatieschade
—het verlies van klantenvertrouwen zal waarschijnlijk enorm zijn na een aanzienlijk lek. Klanten vertrouwen op bedrijven om hun gegevens te beschermen en wanneer gefaald wordt op dit gebied, dan is de kans groot dat ze ergens anders naartoe gaan. De gemiddelde kosten van verloren bedrijfsactiviteiten na een datalek is ongeveer $ 1,4 miljoen.
-
Diefstal
—van intellectueel eigendom tot financiële gegevens, gestolen gegevens kunnen leiden tot aanzienlijke verliezen op verschillende manieren.
-
Boetes
—het niet voldoen aan regelgevingen op het gebied van databescherming gaat gepaard met meer directe kosten in de vorm van boetes. Het datalek bij Equifax in 2017 zorgde er bijvoorbeeld voor dat de Amerikaanse Federal Trade Commission het bedrijf een boete oplegde van $ 700 miljoen.
Top 5 grootste datalekken in de geschiedenis
De huidige grootste datalekken in de geschiedenis troffen een aantal van de grootste en meest vertrouwde bedrijven die bestaan. Het is geen verrassing dat sinds 2018 bij twee derde van de personen online hun gegevens gesloten of gecompromitteerd zijn.
Het is belangrijk om op te merken dat alle top getroffen bedrijven Amerikaans zijn, waarbij de gemiddelde kosten van een datalek met $ 8,2 miljoen aanzienlijk hoger zijn dan wereldwijd.
-
Yahoo — bij Yahoo werd een verbijsterend aantal van 3 miljard archieven gestolen (alle accounts die op dat moment bestonden bij de dienst) toen ze in 2013 gehackt werden. Deze gegevens bestonden uit namen, e-mailadressen en wachtwoorden. In 2014 werden ze opnieuw gehackt, waarbij 500 miljoen archieven gestolen werden.
-
First American Corporation — de verzekerings- en settlementdienstverlener stelde 885 miljoen archieven bloot door een slechte beveiliging, welke bestonden uit burgerservicenummers, rijbewijzen en meer.
-
Facebook — een slechte beveiliging zorgde ervoor dat 540 miljoen archieven gelekt werden in 2019, welke bestonden uit accountnamen, details van berichten, reacties op berichten, vrienden, foto’s, controles en zelfs wachtwoorden van 22.000 gebruikers.
-
Marriott International — de hotelketen verloor 500 miljoen archieven toen ze in 2018 gehackt werden door een Chinese groep. Deze archieven bestonden uit namen, paspoortgegevens, e-mails, telefoonnummers, adressen en meer.
-
Friend Finder Networks — een aanval resulteerde in de diefstal van meer dan 410 miljoen archieven in 2016. Hoewel geen gedetailleerde persoonsgegevens weergegeven werden, werd nog steeds bevestigd wie lid van de site was.
Tips: jezelf beschermen tegen datalekken
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
Zorg ervoor dat je unieke inloggegevens hebt voor elk account
Als je hetzelfde wachtwoord meerdere keren gebruikt voor verschillende accounts, dan kan een datalek bij één resulteren in het tegelijkertijd lekken van meerdere accounts. Gebruik een betrouwbare wachtwoordmanager, zodat je een sterk en uniek wachtwoord hebt voor elke dienst.
Gebruik verificatie in twee stappen (2FA)
Als je inloggegevens gestolen worden tijdens een lek maar je 2FA geactiveerd hebt, dan is het bijna onmogelijk voor de aanvaller om toegang te krijgen tot je account zonder de extra code.
Stel een identiteitscontroletool in
Hiermee word je gewaarschuwd wanneer je persoonsgegevens verschijnen op een website voor gestolen gegevens of gebruikt worden bij het aanvragen van leningen, in berichten op sociale media, voor bestellingen van apparatuur en meer. Op deze manier kun je actie ondernemen zodra je weet dat sommige gegevens van je gestolen zijn.
Veelgestelde vragen: de tracker voor datalekken en Elasticsearch
Hoeveel van het internet scant de tracker voor datalekken?
In eerste instantie 100%, maar we verkleinen dit tot 0,06%. We scannen het hele internet een keer per week om te zoeken naar IP-adressen die waarschijnlijk gebruikmaken van Elasticsearch, wat ongeveer 250.000 zijn. Op deze manier verkleinen we het hele internet tot de relevante 0,06%, welke we regelmatig scannen om deze zoveel mogelijk bijgewerkt te houden.
Waar kan de tracker voor datalekken voor gebruikt worden?
De tracker voor datalekken is een fantastische manier om kwetsbaarheden van wereldwijde servers vast te stellen en te analyseren hoe de wereldwijde databasebeveiliging verbeterd kan worden. Gezien het enorme aantal kwetsbare databases, hopen we dat deze tracker kan functioneren als een alarm voor ondernemingen en iedereen die gevoelige gegevens op een onveilige server bewaart. Aangezien de gemiddelde wereldwijde kosten van een datalek net iets minder dan $ 4 miljoen zijn, is het erg belangrijk dat bedrijven kwetsbare databases zo snel mogelijk beveiligen.
Wat is Elasticsearch?
Elasticsearch is een database-engine die gebruikt wordt om verschillende soorten data te sorteren en deze te doorzoeken. De engine kan voor veel verschillende doeleinden gebruikt worden, zoals zoeken naar toepassingen, analyses van logbestanden, prestatiebeheer en beveiligingsanalyses. Gebruikers zijn vooral lovend over de snelheid en de mogelijkheid om binnen milliseconden te zoeken door een enorme hoeveelheid aan data. Elasticsearch wordt gezien als een van de populairste database-engines op de wereld.
Wat is de Meow-aanval?
De Meow-cyberaanval is een erg destructieve aanval die, in tegenstelling tot veel andere aanvallen, niet een winstoogmerk heeft. De aanval zoekt simpelweg naar onbeveiligde databases en verwijdert alle inhoud, waarbij het bekende ‘Meow’ overal achtergelaten wordt op de getroffen databases. Dit treft niet alleen Elasticsearch-databases, maar ook MongoDB, Cassandra, Hadoop en meer.
Welke soort cyberaanvallen zijn gericht op servers?
Afgezien van de hierboven genoemde Meow, zijn er verschillende soorten aanvallen die gericht zijn op servers, waaronder:
- DoS-aanvallen (denial of service) — een aanvaller overspoelt een server met meer verkeer dat deze aankan, waardoor de server gedurende het proces tijdelijk offline gaat.
- Brute force-aanvallen — door snel een groot aantal wachtwoorden te raden, proberen deze aanvallen toegang te krijgen tot een account met verhoogde serverrechten.
- Directory traversal — deze kwetsbaarheid geeft de aanvaller de mogelijkheid om verder te gaan dan de linkpagina, waar mogelijk opdrachten uitgevoerd kunnen worden of gevoelige gegevens gevonden kunnen worden.
- Website defacen — een aanvaller kan schadelijke of niet-relevante gegevens injecteren in een database, zodat wanneer legitieme gebruikers deze gegevens opvragen, ze de ‘defaced’ resultaten van de aanval zullen zien.
Welke andere soorten databases worden opengelaten op het internet?
Bijna elke database op het internet kan onbeveiligd en opengelaten worden voor een aanval. Degenen die meestal opengelaten worden voor aanvallen zijn echter MongoDB, Cassandra, Hadoop en Jenkins.
Hoe kunnen onveilige databases gerepareerd worden?
Elasticsearch bevat een aantal ingebouwde mechanismes voor authenticatie van gebruikers, zodat alleen gevalideerde gebruikers in kunnen loggen en gegevens op de server kunnen bekijken. Alleen dit is echter niet genoeg, aangezien gebruikers relevante rechten moeten krijgen zodat ze alleen gegevens kunnen zien waar ze de bevoegdheid voor hebben. Dit wordt in Elasticsearch een ‘role-based access control mechanisme’ (RBAC) genoemd. Elke gebruiker krijgt in essentie een rol en de daarbij behorende rechten voor extra gegevensbeveiliging.
Beveiliging gaat natuurlijk veel dieper dan dit, maar met meer geavanceerde instellingen voor authenticatie zouden veel servers al veel veiliger zijn.
Hoe werkt de tracker voor datalekken?
Onze tracker voor datalekken scant het internet elke week, waarbij voornamelijk gezocht wordt naar onveilige Elasticsearch-databases die het potentieel hebben om gekraakt te worden (of waar dit al gebeurd is). Deze gegevens worden vervolgens opgeslagen en beschikbaar gemaakt in een gedetailleerde grafiek met meerdere variabelen, zodat je de exacte tijdsperiode en gegevens kunt analyseren die je wilt.
