Специалисты по безопасности из компании BinaryEdge доказывают, что многие существующие веб-технологии с точки зрения безопасности вообще не подходят для веба. Их просто нельзя допускать в интернет. Настройки по умолчанию небезопасны, часто нет возможностей для правильной конфигурации шифрования, аутентификации, авторизации и других важных функций. В некоторых даже нет встроенной системы разграничения доступа.

Речь идёт о повсеместно используемых веб-программах.

Redis

Redis — сетевое журналируемое хранилище данных типа «ключ-значение» с открытым исходным кодом, нереляционная высокопроизводительная СУБД.

В конфигурации по умолчанию Redis не предусматривает никакой аутентификации и слушает все сетевые интерфейсы. В результате, в Сети обнаружено 35 330 систем, которые отвечали на запросы и не требовали аутентификации.

003

Уязвимые системы в общей сложности используют 13,2 Тбайта памяти, открытой для чтения.

MongoDB

В Сети обнаружено 39 134 сервера с незащищенными базами MongoDB.

004

Общий размер баз данных — 619,8 Тбайт.

Интересный факт. Среди тысяч баз данных без аутентификации обнаружено 347 штук с названием «Информация удалена, потому что ты не защитил базу паролем».

005

Кто-то целенаправленно работает над образованием сисадминов.

Memcached

Программное обеспечение Memcached, реализующее сервис кэширования данных в оперативной памяти, «светит» наружу 11,3 Тбайт данных в 118 574 инстансах.

006

ElasticSearch

Распределенный поисковый движок ElasticSearch тоже не может похвастаться особой безопасностью. Специалисты BinaryEdge нашли 8990 серверов, которые отвечали на запросы.

007

Поисковые движки ставят на крупные информационные системы, поэтому количество открытых данных особенно велико: 531,2 Тбайта. Почти столько же, сколько в базах MongoDB.


Таким образом, в общей сложности сканирование BinaryEdge выявило больше петабайта незащищенных файлов, не предназначенных для посторонних глаз. И это только по четырем программам.

Специалисты отмечают тот факт, что во многих случаях на серверах установлены старые версии программ, которые давно не обновлялись. Это значит, что с большой долей вероятности уязвимы не только данные из программы, но и сами серверы.

Среди уязвимых компаний — и маленькие фирмы, и корпорации из списка Топ-500.

Фото: Garrett Heath

Оставить мнение