58 % af organisationer undlader at anerkende afsløringer af databrud
Comparitech-forskere scanner jævnligt internettet for udsatte databaser. Når vi opdager sådanne eksponeringer, er vores mål at afsløre hændelser til ansvarlige parter, så de kan tage de nødvendige skridt for at sikre de lækkede data. I sidste ende ønsker vi at minimere påvirkningen for slutbrugere, hvis oplysninger er blevet lækket.
Efter at have sporet svartider på advarsler opdagede vi, at mere end halvdelen af virksomhederne ikke sender et svar på meddelelser om dataeksponering. Ifølge Comparitech-forskere, i 502 undersøgte datahændelser,kun 210 organisationer sendte et svar på vores alarmer. De fleste af dem tog en dag at svare, men andre ventede op til 17 dage, før de svarede.
De undersøgte eksponeringer stammede fra usikrede databaser, der var åben for offentligheden. Sårbare databaser kan gøre det muligt for uautoriserede parter at få adgang til data, hvilket fører til databrud, der bringer privatlivets fred og sikkerhed i fare for dem, hvis oplysninger er gemt i.
Oplysninger i nogle af de databaser, vi har opdaget, omfatter kontologin-legitimationsoplysninger (brugernavne og adgangskoder), personlige oplysninger såsom navn, fødselsdato, adresse, telefonnummer og CPR-nummer (SSN), medicinske oplysninger, bankdata, og mere.
Undersøgelse om status for afsløring af databrud
Så snart en lækage opdages, tager vi skridt til at identificere ejeren af databasen og advare dem om eksponeringen. Hvor det er muligt, undersøger vi også indholdet af lækkede databaser og fastslår, hvilke detaljer der blev afsløret, og hvem oplysningerne vedrører. Ideelt set reagerer databaseejerne hurtigt på vores advarsler ved at lukke offentlig adgang til oplysningerne og underrette eventuelle berørte parter.
I nogle tilfælde er responstiden meget hurtig. Vi modtager ofte en bekræftelse, der takker os for en afsløring og forsikring om, at databasen er sikret (som vi så verificerer). Men i mange tilfælde modtager vi et forsinket svar eller slet ingen.
For at studere tilstanden af afsløringer af databrud har vi sporet responstider på advarsler i løbet af de seneste 12 måneder.23 procent (115) af organisationerne anerkendte vores advarsler inden for 24 timer.12 procent (58) tog to dage at svare, og to procent (10) sendte en bekræftelse inden for tre dage. Yderligere fem procent (27) tog mellem fire og 17 dage at reagere på afsløringen. 58 procent (292) anerkendte slet ikke vores alarm.
I tilfælde, hvor der ikke blev modtaget en kvittering, fortsatte vi med at følge op. Vi fandt ud af, at alle databaser til sidst blev sikret eller ødelagt af et botangreb (mere om det nedenfor). Årsagerne til manglende anerkendelse er ikke klare, men i nogle tilfælde kan virksomheder forsøge at undgå indrømmelse af et brud for at 'dæmpe' hændelsen. I andre tilfælde, især nogle af dem, hvor vi observerede botangreb, ser det ud til, at vores advarsler er blevet ignoreret.
Langt størstedelen af de eksponerede databaser, vi opdagede, var Elasticsearch (182) og MongoDB (229) databaser.Dette er de to mest populære databasetyper, der bruges til at administrere NoSQL-data, så det er ingen overraskelse, at de er meget i vores datasæt. Selvom disse muligheder tilbyder solide sikkerhedsfunktioner, kan fejlkonfigurationer efterlade dem utilsigtet afsløret. Andre ret almindelige applikationstyper opdaget i vores forskning omfattede Kafka (13), Jenkins (11), Zeppelin (13) og Zookeeper (12).
Hvorfor hurtig handling som reaktion på datalæk er vigtig
Så betyder en dag eller to virkelig noget? Ja.
Ifølge vores forskning er reaktionstiden afgørende. I en tidligere undersøgelse, vi sætter en honningpotte op bestående af en eksponeret Elasticsearch-databasesimulering. De lækkede data blev tilgået af angribere inden for otte timer.
Vi lod den være udsat i omkring 10 dage, ogden blev angrebet 175 gange i den periodei gennemsnit 18 gange om dagen. Kort sagt kan en hurtig svartid drastisk reducere risikoen for eksponering af følsomme data.
Husk, at responstiden ikke angiver, hvor længe dataene har været eksponeret, da de kunne have været åbent tilgængelige, før vores forskere opdagede det. Resultater i vores honeypot-eksperiment viste, at angribere aktivt søger disse eksponeringer.
En måde, hvorpå angribere finder udsatte databaser, er at overvåge Internet-of-Things (IoT) søgemaskiner såsom Shodan og Binary Edge. Faktisk fandt vi ud af, at den dag, hvor det største antal angreb fandt sted, var samme dag, som vores honeypot blev indekseret på Shodan. Men i den undersøgelse,data blev tilgået snesevis af gange, før databasen dukkede op på en af disse søgemaskiner. Dette indebærer, at angribere er proaktive og bruger deres egne scanningsværktøjer til at finde sårbare databaser, ikke kun stole på IoT-søgemaskiner.
Når først ondsindede aktører har fået fingrene i afslørede data, kan de bruge dem til en række uhyggelige formål. Nogle vil bruge oplysningerne direkte i cyberkriminalitet som f.eks phishing-ordninger , bedrageri, identitetstyveri, afpresning og meget mere. Andre vil poste information til salg på underjordiske markedspladser som dem, der findes på darknet. For eksempel kreditkortoplysninger kan hente 5-35 USD pr. sæt på det mørke web, og 'fullz'-data (som inkluderer navn, fødselsdato, adresse, telefonnummer, SSN og mere) kan give en kriminel $14-60 pr. sæt.
Bortset fra datatyveri er databaser udsat for andre typer angreb. For eksempel, i vores honeypot-eksperiment, blev vores database angrebet af en ondsindet bot, der slettede databasens indhold og anmodede om en løsesum. Andre angreb observeret af holdet involverede kryptojacking, legitimationstyveri og konfigurationsændringer. Endnu et honeypot-eksperiment drevet af Comparitech-forskere illustrerer yderligere de typer af ondsindede anmodninger, der sendes til usikrede servere.
Love om offentlig offentliggørelse af databrud
Det kan være alarmerende at se, at hundredvis af databrud er blevet opdaget af vores forskere alene inden for de seneste 12 måneder. Og du undrer dig måske over, hvor mange af disse lækage dine egne data har været involveret i. Det bringer os til offentlig offentliggørelse af brud. I mange tilfælde opretter vi en offentlig rapport, der beskriver en lækage, vi har opdaget, for at hjælpe med at advare de berørte.Men hvad er den berørte organisations ansvar, når det kommer til offentliggørelse?
Her tager vi et kig på nogle af de gældende love, der er designet til at holde virksomheder ansvarlige for at offentliggøre brud og advare slutbrugere. Bemærk, at dette ikke udgør juridisk rådgivning, og vi opfordrer dig til at søge yderligere oplysninger fra officielle kilder.
OS
I USA, hver stat har sine egne love vedrørende afsløring af databrud. Generelt følger de fleste ledelsen af Californien, som var den første stat, der vedtog en sådan lov. I henhold til denne og lignende love,virksomheder er normalt forpligtet til at oplyse et databrud skriftligt til berørte parter, umiddelbart efter bruddet er blevet opdaget.
Overtrædelser skal også anmeldes til statsadvokaten, men kriterierne for anmeldelse varierer. Normalt skal overtrædelser af en vis størrelse (f.eks. dem, der berører mere end 500 eller 1.000 personer) rapporteres. Afhængigt af staten skal brud kun rapporteres, hvis der er sandsynlighed for, at en uautoriseret person har fået adgang til oplysningerne, og bruddet sandsynligvis vil forårsage væsentlig skade.
EU
I henhold til den generelle databeskyttelsesforordning (GDPR) er databrud generelt involveret personlig information skal rapporteres til den relevante myndighed inden for 72 timer efter opdagelsen. Som skitseret af UK's Information Commissioner's Office (ICO) : 'Hvis bruddet sandsynligvis vil resultere i en høj risiko for at påvirke enkeltpersoners rettigheder og friheder negativt, skal du også informere disse personer uden unødig forsinkelse.'
Canada
I henhold til loven om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA) skal brud være rapporteret til Canadas Privacy Commissioner hvis en vurdering fra den berørte organisation viser, at bruddet forårsager en reel risiko for betydelig skade (RROSH) for en person.Personer, der er berørt af bruddet, skal underrettes direkte(undtagen i visse tilfælde, hvor indirekte underretning er tilladt ) så hurtigt som muligt efter, at bruddet er blevet opdaget.
Australien
Virksomheder i Australien er underlagt ordningen med anmeldelsespligtige databrud. Organisationer og agenturer har '30 dage til at vurdere, om et databrud sandsynligvis vil resultere i alvorlig skade.' I tilfælde af et alvorligt databrud,den berørte organisation skal rapportere det til den australske informationskommissærog advare berørte personer via e-mail, telefonopkald eller sms.