پایگاه دادههای ابر عمومی با پیکربندی نادرست که در اینترنت قرار میگیرند، مشکل بزرگی هستند. اکتشافات جدید توسط پژوهشگران امنیتی و به صورت هفتگی کشف و گزارش میشود. پایگاه دادهها که معمولاً حاوی اطلاعات حساس هستند، اغلب در فضای ذخیرهسازی ابر عمومی بدون کنترل دسترسیها رها میشوند. این مشکل به حدی جدی است که در ماه ژانویهی سال ۲۰۲۰ میلادی، NSA هشدار داد که پیکربندی نادرست منابع ابری همچنان رایجترین آسیبپذیری فضای ابری است. اینگونه پایگاه دادهها برای هر کسی که آنها را پیدا کند، قابل دسترسی و بارگیری و دستکاری هستند.
هنگامی که پژوهشگران آنها را پیدا کنند، بلافاصله یافتههای خود را به صاحبان پایگاه دادهها گزارش میدهند و مشکل در عرض چند ساعت برطرف میشود. بااینحال، گاهی اوقات صاحب آن مشخص نیست و ممکن است چند هفته طول بکشد تا پژوهشگران صاحب آن را پیدا کنند. معمولاً مشخص نیست که پایگاه داده چه مدت قبل از کشف پژوهشگران آنلاین بوده است.
سوال بزرگ این است که عاملان بد چند وقت یک بار چنین پایگاه دادههایی را پیدا میکنند. بهگفتهی صاحبان پایگاه داده این اتفاق زیاد رخ نمیدهد. در مواردی که صاحب یک پایگاه داده این مسأله را تأیید میکند، دیدگاه رایج این است که دلیلی ندارند که دسترسی شخص ثالث به دادههایشان را باور کنند.
پژوهشگران تلاش کردهاند که با ایجاد یک Elasticsearch honeypot حاوی دادههای کاربر جعلی این باور را تأیید کنند. آنها میخواهند بفهمند که در صورت عدم وجود امنیت، چقدر سریع ممکن است دادهها افشا شوند. دادههای آنها تنها به مدت ۱۱ روز از تاریخ ۱۱ مِه تا ۲۲ مِه سال ۲۰۲۰ میلادی افشا شد. در طول این مدت، ۱۷۵ درخواست غیرمجاز ایجاد شد که تنها کمتر از ۹ ساعت پس از استقرار آغاز شد.
پژوهشگران و مهاجمان از موتورهای جستجوی تخصصی مانند Shodan برای کشف پایگاه دادههایی با پیکربندی نادرست استفاده میکنند. Shodan در ۱۶ مِه این honeypot را فهرست کرد. در عرض یک دقیقه پس از فهرست شدن، دو حمله به آن انجام شد و در آن روز بیشتر از هر روز دیگر مورد حمله قرار گرفت.
با این وجود، پژوهشگران خاطرنشان کردند که قبل از فهرست کردن Shodan، چندین حمله رخ داد و نتیجهگیری میکند که بسیاری از مهاجمان برای خزیدن در پایگاه دادههای آسیبپذیر به جای منتظر ماندن برای موتورهای جستجوی منفعل اینترنت اشیا مانند Shodan به ابزارهای اسکن فعال خود تکیه میکنند.
بسیاری از این حملات از آدرسهای IP واقع در امریکا، رومانی و چین انجام شدهاند. اکثر آنها به دنبال اطلاعات مربوط به وضعیت پایگاه داده و تنظیمات آن هستند. بااینحال، سه نوع حمله برجسته وجود دارد: حملات cryptojacking، سرقت گواهینامه و باجافزاری. حملات cryptojacking یک آسیبپذیری بهرهبرداری از کد راه دور را به منظور دستیابی به دسترسیها توسط توابع جاوا و بارگیری استخراجکنندهی bash script هدف قرار میدهند.
پژوهشگران بیان میکنند که حملهی متداول دیگر گذرواژههای موجود در فایل /etc/passwd سرور را هدف قرار میدهد. این حمله مانند حملهی cryptojacking از همان آسیبپذیری و آسیبپذیری پیمایش مسیر دیگری بهرهبرداری میکند.
حملهی باجافزاری پس از آنکه جستجوی honeypot فعال پایان یافت، رخ داد، اما این درحالی بود که سرور هنوز باز و آسیبپذیر بود. یک ربات مخرب این honeypot را کشف و یک حمله راهاندازی کرد که محتوا را حذف کرد و برای درخواست پرداخت باج یک پیام با اطلاعات تماس گذاشت. این حمله تنها ۵ ثانیه طول کشید.
پایگاه دادههای ابر عمومی با پیکربندی نادرست به سرعت کشف و توسط عاملان بد مورد حمله قرار میگیرند. تجزیه و تحلیلها نشان میدهد که دادههای بیشتری از آنچه که گزارش میشود، از پایگاه دادههای ناامن به سرقت میرود. همین مسأله در مورد حملات باجافزاری نیز صادق است.