Разделы

Безопасность Интернет
|

Базы данных в Google Cloud оказались открыты для любых пользователей

В Google Cloud131 из 2064 баз данных (бакетов) настроены неправильно, поэтому их содержимое доступно всем желающим. Найти их также не составляет особого труда, для этого уже разработаны специальные сканеры.

Представительная выборка

Более 6% бакетов (баз данных) Google Cloud настроены некорректно, и их содержимое доступно всем желающим, утверждает фирма Comparitech после изучения свыше 2 тыс. таких ресурсов.

Эксперты компании обнаружили более 6 тыс. сканированных документов, включая паспорта, свидетельства о рождении и другие персональные данные детей из Индии. Еще одна общедоступная база данных принадлежала российскому веб-девелоперу; в ней хранились реквизиты доступа к почтовому серверу и чат-логи.

Взаимный спрос: как рост медтеха в России формирует приток ИТ-специалистов в отрасль
Маркет

Исследователи также обнаружили в таких бакетах исходный код к ПО, реквизиты доступа к другим ресурсам и другие сугубо конфиденциальные данные.

Как отметил исследователь Comparitech Пол Бишофф (Paul Bischoff), найти незащищенные базы данных проще простого. У Google есть правила наименования для бакетов в облачных ресурсах: они должны содержать от 3 до 63 символов — чисел, прописных букв, дефисов, подчеркиваний и точек. Плюс названия должны начинаться и заканчиваться с буквы или цифры.

Искать недолго, найти легко

Comparitech воспользовался общедоступным инструментом для сканирования сети для изучения доменных имен 100 топовых сайтов в рейтинге Alexa в комбинации с распространенными словами, которые чаще всего используют для наименования баз данных — «bak», «db», «database» и «users». В итоге за 2,5 часа им удалось обнаружить 2064 базы, из которых 131 оказались уязвимы.

gugl600.jpg

До 6% баз данных в облаке Google пускают всех желающих

«Незащищенные базы данных выявляются регулярно, нередко уже после утечек с последствиями на миллионы валютных единиц, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Чаще всего страдают базы ElasticSearch и Amazon, но некорректность настройки защиты мало зависит от того, кто разрабатывал базу данных или облачный сервер. Как правило, это именно человеческий фактор».

Роман Георгиев

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Как будут развиваться российские ИБ-экосистемы

Массово удаляются товары из каталогов Ozon, Wildberries и «Яндекс Маркет». Почему это выгодно россиянам?

Росагролизинг: как специалисты «Нетрики» провели миграцию аналитической системы компании с MS SQL Server на Postgres Pro

Cisco придумала новый способ озолотиться, заставив клиентов купить у нее новое «железо»

Денис Хадасков, HD Tech: В России исторически сложилось, что инновации появляются в финансовых компаниях

Скрытая разработчиками уязвимость расползлась по дата-центрам

MARKET.CNEWS

BaaS

Выбрать тариф для резервного копирования данных

От 0.03 руб./месяц

S3-хранилище

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

BPM

Подобрать систему управления бизнес-процессами BPM

От 1 250 руб./месяц

СЭД

Подобрать систему электронного документооборота СЭД (ECM)

От 1 360 руб./месяц

Техника

Обзор моноблока HIPER EXPERTCENTER D27: солидный универсал

Как обустроить быт в палатке: лучшие гаджеты для походов

Обзор ноутбука HUAWEI MateBook D 16 2024: производительный малый

Показать еще

Наука

На каком языке думают нейросети?

«Ангара А5» и другие самые интересные космические миссии в 2024 году

Обнаружен неизвестный объект в Млечном Пути — он тяжелее самых тяжелых нейтронных звезд и легче самых легких черных дыр
Показать еще
Российская неделя высоких технологий-2024. СВЯЗЬ-2024 Российская неделя высоких технологий-2024. СВЯЗЬ-2024