Eκτεθειμένες πάνω από 2.000 βάσεις δεδομένων στο cloud – Πως να προστατευτείτε

- Advertisement -

Ευαίσθητα δεδομένα σε εφαρμογές κινητής τηλεφωνίας απροστάτευτα και διαθέσιμα σε οποιονδήποτε διαθέτει ένα πρόγραμμα περιήγησης. Προσωπικές οικογενειακές φωτογραφίες, αναγνωριστικά κουπονιών σε εφαρμογή υγειονομικής περίθαλψης, δεδομένα από πλατφόρμες ανταλλαγής κρυπτονομισμάτων και πολλά άλλα χωρίς κυβερνοασφάλεια.

Η Check Point Research (CPR) διαπίστωσε ότι τα ευαίσθητα δεδομένα μιας σειράς εφαρμογών για κινητά ήταν εκτεθειμένα και διαθέσιμα σε οποιονδήποτε με ένα πρόγραμμα περιήγησης. Κάνοντας αναζήτηση στο “VirusTotal”, η CPR βρήκε 2.113 εφαρμογές για κινητά, των οποίων οι βάσεις δεδομένων ήταν απροστάτευτες και εκτεθειμένες κατά τη διάρκεια μιας τρίμηνης ερευνητικής μελέτης.

Το VirusTotal, θυγατρική της Google, είναι ένα δωρεάν διαδικτυακό εργαλείο που αναλύει αρχεία και διευθύνσεις URL για την ανίχνευση ιών, trojans και άλλων μορφών κακόβουλου λογισμικού.

Η CPR προειδοποιεί το κοινό για το πόσο εύκολο είναι να εντοπιστούν σύνολα δεδομένων και κρίσιμοι πόροι εφαρμογών με την αναζήτηση σε δημόσια αποθετήρια, προτρέποντας τον κλάδο να ασκήσει καλύτερες πρακτικές ασφάλειας στο cloud για να προστατεύσει καλύτερα τις εφαρμογές του.

Βάσεις δεδομένων χιλιάδων εφαρμογών μένουν εκτεθειμένες κάθε μήνα

Οι εφαρμογές για κινητά κυμαίνονταν από 10.000+ λήψεις έως 10.000.000+ λήψεις. Τα ευαίσθητα δεδομένα που βρέθηκαν εκτεθειμένα από τη CPR περιλάμβαναν: μηνύματα συνομιλίας σε δημοφιλείς εφαρμογές γνωριμιών, προσωπικές οικογενειακές φωτογραφίες, αναγνωριστικά κουπονιών σε μια εφαρμογή υγειονομικής περίθαλψης, δεδομένα από πλατφόρμες ανταλλαγής κρυπτονομισμάτων και πολλά άλλα.

Η CPR βρήκε εκτεθειμένα περισσότερα από 50.000 ιδιωτικά μηνύματα από μια δημοφιλή εφαρμογή γνωριμιών. Μια άλλη εφαρμογή άφησε εκτεθειμένα 130.000 ονόματα χρηστών και μηνύματα ηλεκτρονικού ταχυδρομείου, μια άλλη 80.000 ονόματα εταιρειών, διευθύνσεις και υπόλοιπα τραπεζικών λογαριασμών

Παραδείγματα εκτεθειμένων εφαρμογών

Η CPR παραθέτει έξι παραδείγματα εφαρμογών για κινητά, των οποίων οι βάσεις δεδομένων έμειναν απροστάτευτες και εκτεθειμένες.

Παράδειγμα Α

Κατηγορία: Εφαρμογή καταστήματος μίας από τις μεγαλύτερες αλυσίδες στη Νότια Αμερική.

Περιγραφή: Αμερική: Ο ιδιοκτήτης της εφαρμογής είναι μια πολύ μεγάλη αλυσίδα εμπορικών καταστημάτων στη Νότια Αμερική.

Αριθμός λήψεων: 10M+

Εκτεθειμένα δεδομένα: Διαπιστευτήρια API gateway και API key

Άνοιγμα DB από μια ευρέως χρησιμοποιούμενη εφαρμογή ηλεκτρονικού εμπορίου για κινητά με διαπιστευτήρια καθαρού κειμένου

Παράδειγμα Β

Κατηγορία: Εφαρμογή παρακολούθησης τρεξίματος

Περιγραφή: Αναπτύχθηκε για την παρακολούθηση και ανάλυση των επιδόσεων τρεξίματος.

Αριθμός λήψεων: 100,000+

Εκτεθειμένα δεδομένα: Εκτίθενται οι συντεταγμένες GPS των χρηστών και άλλες παράμετροι υγείας, όπως ο καρδιακός ρυθμός. Οι συντεταγμένες των θυμάτων θα μπορούσαν να χρησιμοποιηθούν για τη δημιουργία χαρτών για τον εντοπισμό της θέσης τους

Μοντέλα τηλεφώνου και συντεταγμένες GPS που είναι εκτεθειμένα σε μια εφαρμογή παρακολούθησης τρεξίματος

Παράδειγμα C 

Κατηγορία: Εφαρμογή Γνωριμιών

Περιγραφή: Εφαρμογή Γνωριμιών για άτομα με αναπηρίες

Αριθμός λήψεων: 10,000+

Εκτεθειμένα δεδομένα: 50.000 προσωπικά μηνύματα στο ανοιχτό DB μιας εφαρμογής γνωριμιών.

Ιδιωτικά μηνύματα συνομιλίας που ανταλλάσσονται σε μια εφαρμογή γνωριμιών με φωτογραφίες των αποστολέων

Παράδειγμα D 

Κατηγορία: Εφαρμογή σχεδιασμού λογότυπου

Περιγραφή: Ευρέως χρησιμοποιούμενη εφαρμογή δημιουργίας λογότυπων και γραφικών σχεδίων.

Εκτεθειμένα δεδομένα: Εκτέθηκαν 130.000 ονόματα χρηστών, μηνύματα ηλεκτρονικού ταχυδρομείου και κωδικοί πρόσβασης.

Usernames, κωδικοί πρόσβασης και emails στη DB της εφαρμογής designcreator

Παράδειγμα E 

Κατηγορία: Εφαρμογή κοινωνικής πλατφόρμας ήχου για τους χρήστες να μοιράζονται και να ακούνε ανεξάρτητα podcasts

Περιγραφή: Οι χρήστες μπορούν να αγοράζουν και να μοιράζονται podcasts και διάφορα ηχητικά υλικά

Αριθμός λήψεων: 5M+

Εκτεθειμένα δεδομένα: τραπεζικά στοιχεία των χρηστών, τοποθεσία, αριθμοί τηλεφώνου, μηνύματα συνομιλίας, ιστορικό αγορών και άλλα

Open DB της εφαρμογής ήχου με τα στοιχεία της τράπεζας και τον αριθμό τηλεφώνου

Παράδειγμα F

Κατηγορία: Εφαρμογή τήρησης λογιστικών βιβλίων

Περιγραφή: εφαρμογή λογιστικών υπηρεσιών για μικρές και μεσαίες επιχειρήσεις

Αριθμός λήψεων: 1M+

Εκτεθειμένα δεδομένα: Διευθύνσεις, τραπεζικά υπόλοιπα, υπόλοιπα μετρητών, αριθμοί τιμολογίων και μηνύματα ηλεκτρονικού ταχυδρομείου.

Επωνυμία εταιρείας, διεύθυνση ηλεκτρονικού ταχυδρομείου, διεύθυνση και υπόλοιπα από τη βάση δεδομένων της λογιστικής εφαρμογής

Παράδειγμα G 

Κατηγορία: PDF Reader

Περιγραφή: n/a

Αριθμός λήψεων: 500,000k

Εκτεθειμένα δεδομένα: OpenVPN με εκτεθειμένα ιδιωτικά κλειδιά. Αυτό θα μπορούσε δυνητικά να χρησιμοποιηθεί από έναν χάκερ για να συνδεθεί στο VPN της εταιρείας και να εισβάλει στο δίκτυό της.

Base64 του αρχείου ρυθμίσεων openVPN στην ανοικτή βάση δεδομένων

Μεθοδολογία Πρόσβασης

Για την πρόσβαση σε εκτεθειμένες βάσεις δεδομένων, η μεθοδολογία είναι απλή:

  1. Αναζητήστε εφαρμογές για κινητά που επικοινωνούν με υπηρεσίεςcloud στο VirusTotal
  2. Αρχειοθετήστε αυτές που έχουν άμεση πρόσβαση σε δεδομένα
  3. Περιηγηθείτε στο σύνδεσμο που λάβατε

Ο Lotem Finkelsteen, Head of Threat Intelligence and Research στην Check Point Software ανέφερε ότι «σε αυτή την έρευνα, δείχνουμε πόσο εύκολο είναι να εντοπίσουμε σύνολα δεδομένων και κρίσιμους πόρους που είναι ανοιχτοί στο σύννεφο σε οποιονδήποτε μπορεί απλά να αποκτήσει πρόσβαση σε αυτά με μια περιήγηση. Μοιραζόμαστε μια απλή μέθοδο για το πώς μπορούν ενδεχομένως να το κάνουν οι χάκερ. Η μεθοδολογία περιλαμβάνει την αναζήτηση σε δημόσια κέντρα αποθήκευσης αρχείων, όπως το VirusTotal, για εφαρμογές κινητών τηλεφώνων που χρησιμοποιούν υπηρεσίες cloud. Ένας χάκερ μπορεί να ζητήσει από το VirusTotal την πλήρη διαδρομή προς το cloud backend μιας εφαρμογής κινητής τηλεφωνίας. Εμείς οι ίδιοι μοιραζόμαστε μερικά παραδείγματα για το τι θα μπορούσαμε να βρούμε εκεί. Όλα όσα βρήκαμε είναι διαθέσιμα σε οποιονδήποτε. Τελικά, με αυτή την έρευνα αποδεικνύουμε πόσο εύκολο είναι να συμβεί μια παραβίαση ή εκμετάλλευση δεδομένων. Ο όγκος των δεδομένων που βρίσκεται ανοιχτά και είναι διαθέσιμος σε οποιονδήποτε στο cloud είναι τρελός. Είναι πολύ πιο εύκολο να παραβιαστεί από ό,τι νομίζουμε».

Πως να μείνετε ασφαλείς

Ακολουθούν ορισμένες συμβουλές για να διασφαλίσετε ότι οι διάφορες υπηρεσίες cloud είναι ασφαλείς:

Amazon Web Services

AWS CloudGuard S3 Bucket Security

Specific rule: “Ensure S3 buckets are not publicly accessible” Rule ID: D9.AWS.NET.06

Συγκεκριμένος κανόνας: “Βεβαιωθείτε ότι τα buckets S3 δεν είναι προσβάσιμοι από το ευρύ κοινό”. Rule ID: D9.AWS.NET.06

Google Cloud Platform

Ensure that Cloud Storage DB is not anonymously or publicly accessible Rule ID: D9.GCP.IAM.09

Βεβαιωθείτε ότι η βάση δεδομένων αποθήκευσης cloud δεν είναι ανώνυμη ή δημόσια προσβάσιμη Rule ID: D9.GCP.IAM.09

Microsoft Azure

Ensure default network access rule for Storage Accounts is set to deny Rule ID: D9.AZU.NET.24

Βεβαιωθείτε ότι ο προεπιλεγμένος κανόνας πρόσβασης στο δίκτυο για τους λογαριασμούς αποθήκευσης έχει οριστεί σε deny Rule ID D9.AZU.NET.24

ΔΗΜΟΦΙΛΗ ΘΕΜΑΤΑ

Cosmote: Δωρεάν απεριόριστα data και φέτος το τριήμερο του Αγ. Πνεύματος

Δωρεάν απεριόριστα data και αυτό το τριήμερο του Αγίου...

Απλά Ψηφιακά 215: Η ευκαιρία της οπτικοακουστικής βιομηχανίας (Λ. Χριστόπουλος) και οι επόμενες κινήσεις...

Για τη συμβολή του οπτικοακουστικού τομέα στην ελληνική οικονομία,...

Η ελληνική παρουσία πίσω από τη νέα γενιά AI: Οι δύο founders που «τρέχουν»...

Η παγκόσμια κούρσα της τεχνητής νοημοσύνης μετριέται πλέον σε...

«Hellas Space 2.0»: Το νέο εθνικό διαστημικό πρόγραμμα των 350 εκατ. ευρώ για το...

Greece In Orbit – Η Ελλάδα σε Τροχιά Το πρώτο...

Απλά Ψηφιακά 214: Οι AI agents της Voicelogica (Απ. Ιωακείμ), η Kiefer και το...

Για τον ρόλο που διαδραματίζει η Voicelogica στον ψηφιακό...

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Νέο Διοικητικό Συμβούλιο για τον GR.EC.A

Ο Ελληνικός Σύνδεσμος Ηλεκτρονικού Εμπορίου (GR.EC.A) ανακοινώνει την εκλογή...

Την ανιούσα παίρνουν οι τιμές των smartphones στην Ευρώπη

Με ακριβότερα smartphones, περιορισμένη διαθεσιμότητα φθηνών μοντέλων και ολοένα...

Πάνω από 92.000 κυβερνοεπιθέσεις μέσω ψεύτικων AI εφαρμογών

Η παγκόσμια έκρηξη της Τεχνητής Νοημοσύνης δεν αλλάζει μόνο...

Το 93% των επενδύσεων σε υποδομές – Μόλις το 7% στην ανάπτυξη εργαζομένων

Με την τεχνητή νοημοσύνη να αλλάζει με καταιγιστικούς ρυθμούς...

Απλά Ψηφιακά 215: Η ευκαιρία της οπτικοακουστικής βιομηχανίας (Λ. Χριστόπουλος) και οι επόμενες κινήσεις στο διάστημα

Για τη συμβολή του οπτικοακουστικού τομέα στην ελληνική οικονομία,...