Ataques começaram oito horas após a instalação e totalizaram 175 em dez dias de exposição na web

Quanto tempo você acha que um banco de dados pode ficar aberto na web, mal configurado ou sem proteção, antes que alguém ache e ataque? A Comparitech, empresa da Inglaterra que analisa produtos e serviços de segurança da informação, decidiu fazer um teste com um banco de dados aberto na web para descobrir a resposta para essa pergunta. E a resposta foi: apenas oito horas.

A equipe de pesquisa de segurança da Comparitech, da qual faz parte o pesquisador Bob Diachenko, uma das fontes de informação do CISO Advisor, descobre com frequência servidores não seguros ou mal configurados que vazam dados confidenciais de usuários na web. Em um cenário típico, pessoas não autorizadas podem encontrar, acessar e até modificar os dados que as organizações deixaram expostos sem uma senha ou qualquer outro modo de autenticação, colocando em risco a privacidade e a segurança dos dados.

Segundo a empresa, embora os pesquisadores façam o possível para alertar rapidamente os responsáveis pelas exposições encontradas, os dados geralmente ficam expostos e vulneráveis de algumas horas a algumas semanas, até que o proprietário seja encontrado e confirme que protegeu o banco.

A equipe de pesquisa, chefiada por Diachenko, criou num honeypot uma simulação de banco de dados em uma instância do Elasticsearch – um tipo de servidor em nuvem no qual os dados são frequentemente armazenados – e colocou dados falsos de usuário dentro dele. Em seguida, o honeypot foi exposto publicamente.

A Comparitech contou que os dados ficaram expostos de 11 de maio de 2020 a 22 de maio de 2020. Durante esse período, foram feitas 175 solicitações não autorizadas: “Nos referimos amplamente a essas solicitações como ‘ataques’. Nosso honeypot teve uma média de 18 ataques por dia”, informou a empresa. O primeiro ataque ocorreu em 12 de maio, apenas 8 horas e 35 minutos após a implantação.

Para encontrar bancos de dados vulneráveis, muitos invasores usam um mecanismo de pesquisa da Internet das Coisas (IoT), como Shodan.io ou BinaryEdge: “O Shodan indexou nosso honeypot em 16 de maio, o que significa que ele foi listado nos resultados da pesquisa. Apenas um minuto depois de ser indexado pelo Shodan, dois ataques ocorreram. O maior número de ataques em um único dia ocorreu no mesmo dia em que o banco de dados foi indexado: 22 ataques no total”, uma indicação de que os atacantes utilizam bastante os dados desse mecanismo de busca.

Foi notável o fato de que mais de 30 ataques tenham ocorrido antes que o banco de dados fosse indexado pelos mecanismos de pesquisa, diz a empresa, demonstrando que os hackers confiam bastante em suas próprias ferramentas. O BinaryEdge indexou o banco de dados em 21 de maio.

Em 29 de maio de 2020, um bot malicioso descobriu o honeypot. Ele lançou um ataque que excluiu o conteúdo do banco de dados e deixou uma mensagem com informações de contato e solicitação de pagamento (editada pela Comparitech) – os dados haviam sido criptografados.

Os locais de registro dos IPs utilizados nos ataques foram três países:

  • 89 vieram dos EUA
  • 38 vieram da Romênia
  • 15 vieram da China

A maioria das solicitações teve como objetivo obter informações sobre o status do banco de dados e suas configurações.

  • 147 ataques usaram o método de solicitação GET
  • 24 ataques usaram o método POST, que era particularmente popular para ataques originários da China
  • 1 ataque usou o método PUT com a intenção de alterar a configuração do servidor
  • 1 ataque usou o método OPTIONS para obter informações sobre a conexão
  • 1 ataque usou o método HEAD para obter os cabeçalhos das solicitações sem receber as respostas

Com agências internacionais

Fonte: CISO Advisor (https://www.cisoadvisor.com.br/honeypot-confirma-risco-iminente-para-bancos-de-dados/)