58 % organizací neuznává odhalení narušení dat
Výzkumníci z Comparitech pravidelně prohledávají internet a hledají odhalené databáze. Když takové odhalení odhalíme, naším cílem je sdělit incidenty odpovědným stranám, aby mohly přijmout nezbytná opatření k zabezpečení uniklých dat. V neposlední řadě chceme minimalizovat dopad na koncové uživatele, jejichž informace unikly.
Po sledování doby odezvy na výstrahy jsme zjistili, že více než polovina společností neposílá odpověď na oznámení o vystavení údajů. Podle výzkumníků Comparitech v 502 studovaných datových incidentech,pouze 210 organizací zaslalo odpověď na naše upozornění. Většině z nich trvala odpověď den, ale jiní čekali až 17 dní, než odpověděli.
Studované expozice pocházely z nezabezpečených databází, které byly ponechány veřejnému přístupu. Zranitelné databáze mohou umožnit neoprávněným stranám přístup k datům, což vede k narušení dat, které ohrožuje soukromí a bezpečnost těch, jejichž informace jsou uloženy.
Podrobnosti uchovávané v některých databázích, které jsme objevili, zahrnují přihlašovací údaje k účtu (uživatelská jména a hesla), osobní údaje, jako je jméno, datum narození, adresa, telefonní číslo a číslo sociálního zabezpečení (SSN), lékařské informace, bankovní údaje, a více.
Studie o stavu odhalení narušení dat
Jakmile je odhalen únik, podnikneme kroky k identifikaci vlastníka databáze a upozorníme ho na ohrožení. Kde je to možné, prošetřujeme také obsah uniklých databází a zjišťujeme, jaké podrobnosti byly odhaleny a koho se informace týkají. V ideálním případě majitelé databází rychle reagují na naše upozornění uzavřením veřejného přístupu k informacím a informováním všech dotčených stran.
V některých případech je doba odezvy velmi rychlá. Často dostáváme poděkování za prozrazení a ujištění, že databáze je zabezpečena (což následně ověřujeme). V mnoha případech však obdržíme opožděnou odpověď nebo žádnou.
Abychom prozkoumali stav zveřejnění narušení dat, sledovali jsme doby odezvy na výstrahy za posledních 12 měsíců.23 procent (115) organizací potvrdilo naše upozornění do 24 hodin.12 procentům (58) trvala odpověď dva dny a dvě procenta (10) poslala potvrzení do tří dnů. Dalším pěti procentům (27) trvalo čtyři až 17 dní, než reagovali na zveřejnění. 58 procent (292) naši výstrahu vůbec nepotvrdilo.
V případech, kdy jsme neobdrželi žádné potvrzení, jsme pokračovali ve sledování. Zjistili jsme, že všechny databáze byly nakonec zabezpečeny nebo zničeny útokem botů (více o tom níže). Důvody nedostatečného uznání nejsou jasné, ale v některých případech se mohou společnosti pokusit vyhnout se přiznání porušení, aby incident „umlčely“. V jiných případech, zejména v některých případech, kdy jsme pozorovali útoky botů, se zdá, že naše výstrahy byly ignorovány.
Naprostá většina odhalených databází, které jsme objevili, byly databáze Elasticsearch (182) a MongoDB (229).Jedná se o dva nejoblíbenější typy databází používané pro správu dat NoSQL, takže není překvapením, že se v naší datové sadě hojně vyskytují. I když tyto možnosti nabízejí spolehlivé funkce zabezpečení, chybná konfigurace je může nechtěně odhalit. Mezi další poměrně běžné typy aplikací objevené v našem výzkumu patřily Kafka (13), Jenkins (11), Zeppelin (13) a Zookeeper (12).
Proč je důležité rychle jednat v reakci na úniky dat
Takže opravdu záleží na dni nebo dvou? Ano.
Podle našeho výzkumu je rozhodující reakční doba. V dřívější studii, postavili jsme honeypot sestávající z exponované simulace databáze Elasticsearch. K uniklým datům se útočníci dostali během osmi hodin.
Nechali jsme to vystavené asi 10 dní aběhem tohoto období bylo napadeno 175krát, v průměru 18krát za den. Stručně řečeno, rychlá doba odezvy může drasticky snížit riziko vystavení citlivých dat.
Mějte na paměti, že doba odezvy neukazuje, jak dlouho byla data vystavena, protože mohla být otevřeně přístupná dříve, než je naši výzkumníci objevili. Výsledky našeho experimentu s honeypotem ukázaly, že útočníci aktivně vyhledávají tyto expozice.
Jedním ze způsobů, jak útočníci najdou odhalené databáze, je sledování vyhledávačů internetu věcí (IoT), jako jsou Shodan a Binary Edge. Zjistili jsme, že den, kdy došlo k největšímu počtu útoků, byl ten samý den, kdy byl náš honeypot indexován na Shodan. V této studii všakdata byla zpřístupněna desítkykrát, než se databáze objevila v některém z těchto vyhledávačů. To znamená, že útočníci jsou proaktivní a používají své vlastní nástroje pro skenování k nalezení zranitelných databází, nespoléhají se pouze na vyhledávače IoT.
Jakmile se zlomyslní aktéři dostanou k odhaleným datům, mohou je použít k různým nekalým účelům. Někteří využijí informace přímo v kyberzločinech jako např phishingová schémata , podvody, krádeže identity, vydírání a další. Ostatní budou zveřejňovat informace k prodeji na podzemních tržištích, jako jsou ta, která se nacházejí na darknetu. Například údaje o kreditní kartě může vynést 5–35 $ za sadu na temném webu a „fullz“ data (která zahrnují jméno, datum narození, adresu, telefonní číslo, SSN a další) mohou získat zločince 14–60 $ za sadu.
Kromě krádeží dat jsou databáze předmětem dalších typů útoků. Například v našem experimentu s honeypotem byla naše databáze napadena škodlivým robotem, který smazal obsah databáze a požadoval platbu výkupného. Další útoky pozorované týmem zahrnovaly cryptojacking, krádež přihlašovacích údajů a změny konfigurace. Další medový experiment provozovaný výzkumníky Comparitech dále ilustruje typy škodlivých požadavků zasílaných na nezabezpečené servery.
Zákony týkající se zveřejňování narušení dat
Může být alarmující vidět, že jen naši výzkumníci během posledních 12 měsíců odhalili stovky úniků dat. A možná se ptáte, kolik z těchto úniků bylo zapleteno do vašich vlastních dat. To nás přivádí k veřejnému odhalení porušení. V mnoha případech vytváříme veřejnou zprávu s podrobnostmi o úniku, který jsme objevili, abychom pomohli upozornit ty, kterých se to týká.Jaká je však odpovědnost dotčené organizace, pokud jde o zveřejnění?
Zde se podíváme na některé platné zákony, jejichž cílem je učinit společnosti odpovědné za veřejné odhalování porušení a upozorňování koncových uživatelů. Upozorňujeme, že toto nepředstavuje právní poradenství a doporučujeme vám vyhledat další informace z oficiálních zdrojů.
NÁS
V USA každý stát má své zákony ohledně prozrazení úniku dat. Obecně platí, že většina následuje příklad Kalifornie, která byla prvním státem, který takový zákon přijal. Podle tohoto a podobných zákonůspolečnosti jsou obvykle povinny oznámit porušení ochrany údajů dotčeným stranám písemněihned po zjištění porušení.
Porušení musí být také hlášeno státnímu generálnímu prokurátorovi, ale kritéria pro hlášení se liší. Obvykle musí být hlášena porušení určité velikosti (například ta, která postihují více než 500 nebo 1 000 osob). V závislosti na státu se narušení musí hlásit pouze v případě, že existuje pravděpodobnost, že se k informacím dostala neoprávněná osoba, a narušení pravděpodobně způsobí značnou škodu.
EU
Podle obecného nařízení o ochraně osobních údajů (GDPR) obecně porušení ochrany osobních údajů zahrnuje osobní informace musí být oznámeno příslušnému úřadu do 72 hodin od zjištění. Jak je uvedeno v Úřad britského komisaře pro informace (ICO) : „Pokud je pravděpodobné, že porušení povede k vysokému riziku nepříznivého ovlivnění práv a svobod jednotlivců, musíte také tyto jednotlivce bez zbytečného odkladu informovat.“
Kanada
Podle zákona o ochraně osobních údajů a elektronických dokumentech (PIPEDA) k porušení musí docházet oznámeno kanadskému komisaři pro ochranu osobních údajů pokud posouzení dotčené organizace ukáže, že porušení způsobuje fyzické osobě skutečné riziko významné újmy (RROSH).Jednotlivci postižení porušením musí být přímo informováni(kromě určitých případů, kdy nepřímé oznámení je povoleno ) co nejdříve po zjištění porušení.
Austrálie
Společnosti v Austrálii podléhají schématu narušení údajů podléhajících oznámení. Organizace a agentury mít „30 dní na posouzení, zda je pravděpodobné, že narušení bezpečnosti povede k vážné újmě“. V případě závažného úniku dat,dotčená organizace to musí nahlásit australskému komisaři pro informacea upozornit postižené osoby prostřednictvím e-mailu, telefonního hovoru nebo textové zprávy.