Selon une étude récente, laisser une base de données exposée en ligne ne serait-ce que pour une courte période présente un risque important pour les entreprises.
La société de cybersécurité Comparitech a mis en place un pot de miel, sous la forme d'une base de données délibérément exposée hébergée sur une instance Elasticsearch, qui a été attaquée par des parties non autorisées pour la première fois seulement 8,5 heures après sa publication.
Au cours de la période de 11 jours au cours de laquelle la fausse base de données est restée exposée, les pirates ont tenté d'y accéder à 175 reprises, en moyenne 18 attaques par jour.
Sommaire
Bases de données non sécurisées
Selon le rapport Comparitech, de nombreux pirates s'appuient sur des moteurs de recherche IoT tels que Shodan.io ou BinaryEdge pour identifier les bases de données vulnérables dignes d'attaque.
Cinq jours après le premier déploiement du pot de miel, la base de données a été indexée sur Shodan, entraînant le plus grand nombre d'attaques en une seule journée (22). En seulement une minute après l'apparition du pot de miel dans les listes de recherche, deux attaques distinctes ont eu lieu.
Le rapport a noté qu'un volume important d'attaques avait eu lieu avant que la base de données ne soit répertoriée par un moteur de recherche, ce qui, selon Comparitech, démontre «combien de pirates informatiques s'appuient sur leurs propres outils d'analyse proactive plutôt que d'attendre que les moteurs de recherche IoT passifs explorent les bases de données vulnérables. "
Sur les 175 attaques subies par le pot de miel, presque toutes provenaient des États-Unis (89), de la Roumanie (38) et de la Chine (15). La majorité des attaques ont tenté d'obtenir des informations sur la base de données et ses paramètres, les pirates utilisant la méthode de demande GET dans 147 cas et la méthode POST dans 24.
Alors que l'intention initiale de la société était de remettre en question l'hypothèse selon laquelle l'exposition de données pendant une courte période est peu susceptible d'entraîner une attaque, l'expérience a également permis de mettre en évidence le large éventail de cybermenaces auxquelles sont confrontées les entreprises.
Une fois la recherche terminée, un robot rançongiciel a découvert le pot de miel encore public et a supprimé les quelques fichiers qui restaient – une attaque qui n'a duré que cinq secondes.
"Si vous souhaitez récupérer vos données, envoyez 0,06 TBC à [redacted address] et vous devez envoyer un e-mail à [redacted address] avec votre IP. Si vous avez besoin d'une preuve de vos données, envoyez simplement un e-mail (sic). Si vous n'effectuez pas de paiement, toutes vos données peuvent être utilisées à nos fins et / ou seront divulguées / vendues », a lu une note laissée par le robot malveillant.
La firme de sécurité a noté qu'une partie des attaquants identifiés dans le cadre de l'étude auraient bien pu être des collègues chercheurs en sécurité (attaquants bénins), qui sont souvent indiscernables des acteurs malveillants.