В интернете лежит более петабайта незащищённых данных

Рекомендуем почитать:

Xakep #305. Multi-Step SQLi

• Содержание выпуска
• Подписка на «Хакер»-60%

Специалисты по безопасности из компании BinaryEdge доказывают, что многие существующие веб-технологии с точки зрения безопасности вообще не подходят для веба. Их просто нельзя допускать в интернет. Настройки по умолчанию небезопасны, часто нет возможностей для правильной конфигурации шифрования, аутентификации, авторизации и других важных функций. В некоторых даже нет встроенной системы разграничения доступа.

Речь идёт о повсеместно используемых веб-программах.

• Redis — http://redis.io
• MongoDB — https://www.mongodb.org
• Memcached — http://memcached.org
• ElasticSearch — https://www.elastic.co/products/elasticsearch

Redis

Redis — сетевое журналируемое хранилище данных типа «ключ-значение» с открытым исходным кодом, нереляционная высокопроизводительная СУБД.

В конфигурации по умолчанию Redis не предусматривает никакой аутентификации и слушает все сетевые интерфейсы. В результате, в Сети обнаружено 35 330 систем, которые отвечали на запросы и не требовали аутентификации.

Уязвимые системы в общей сложности используют 13,2 Тбайта памяти, открытой для чтения.

MongoDB

В Сети обнаружено 39 134 сервера с незащищенными базами MongoDB.

Общий размер баз данных — 619,8 Тбайт.

Интересный факт. Среди тысяч баз данных без аутентификации обнаружено 347 штук с названием «Информация удалена, потому что ты не защитил базу паролем».

Кто-то целенаправленно работает над образованием сисадминов.

Memcached

Программное обеспечение Memcached, реализующее сервис кэширования данных в оперативной памяти, «светит» наружу 11,3 Тбайт данных в 118 574 инстансах.

ElasticSearch

Распределенный поисковый движок ElasticSearch тоже не может похвастаться особой безопасностью. Специалисты BinaryEdge нашли 8990 серверов, которые отвечали на запросы.

Поисковые движки ставят на крупные информационные системы, поэтому количество открытых данных особенно велико: 531,2 Тбайта. Почти столько же, сколько в базах MongoDB.

Таким образом, в общей сложности сканирование BinaryEdge выявило больше петабайта незащищенных файлов, не предназначенных для посторонних глаз. И это только по четырем программам.

Специалисты отмечают тот факт, что во многих случаях на серверах установлены старые версии программ, которые давно не обновлялись. Это значит, что с большой долей вероятности уязвимы не только данные из программы, но и сами серверы.

Среди уязвимых компаний — и маленькие фирмы, и корпорации из списка Топ-500.

Фото: Garrett Heath