การรั่วไหลของฐานข้อมูล Elastic
30 วันที่ผ่านมาเพื่อเน้นย้ำถึงภัยคุกคามทางไซเบอร์ในอุตสาหกรรมระดับโลกที่สำคัญ ทีมงาน WizCase จึงได้ดำเนินการค้นคว้าเกี่ยวกับความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง เรามุ่งเน้นที่การรั่วไหลของข้อมูลในอุตสาหกรรมทางการแพทย์และการรั่วไหลของข้อมูลในการศึกษาทางออนไลน์ ทั้งสองอุตสาหกรรมต่างก็มีความสำคัญและมักถูกมองข้ามอยู่บ่อยครั้ง เมื่อดูอุตสาหกรรมที่เฉพาะเจาะจงมากมาย เราคิดว่าการวิเคราะห์การรั่วไหลของเซิร์ฟเวอร์ทั่วไปที่อาจส่งผลกระทบต่อบริษัทที่เปิดให้บริการฐานข้อมูลนั้นอาจเป็นเรื่องดี ในช่วงเวลามากกว่า 10 ปีที่ผ่านมานี้ มีการรั่วไหลของเซิร์ฟเวอร์ข้อมูลมากกว่า 100,000 รายการมากกว่า 300 เซิร์ฟเวอร์ — ปริมาณของข้อมูลขนาดยักษ์ดังกล่าวอาจก่อให้เกิดความเสียหายต่อบริษัทและผู้ใช้ได้
ตัวแปรที่ติดตาม
เครื่องมือจะติดตามและแสดงตัวแปรมากมายเพื่อแสดงให้เห็นถึงความรุนแรงและจำนวนของการรั่วไหลทั่วโลก:
-
ระยะเวลาในการวิเคราะห์:
กรอกช่วงเวลาที่ปรากฏในการวิเคราะห์เซิร์ฟเวอร์ด้วยตนเอง
-
จำนวนเซิร์ฟเวอร์ที่สแกนรวม:
จำนวนเซิร์ฟเวอร์ที่สแกนโดยรวมในช่วงเวลาที่กำหนด
-
จำนวนตัวอย่าง Elasticsearch ที่ทำงานรวม:
มีเซิร์ฟเวอร์ที่ถูกสแกนที่กำลังทำงานอยู่ในฐานข้อมูล Elasticsearch มากแค่ไหน
-
จำนวนการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตรวม:
มีฐานข้อมูล Elasticsearch ที่สามารถเข้าถึงได้โดยไม่มีการตรวจสอบทางด้านความปลอดภัยมากแค่ไหน
-
ความล้มเหลวของความปลอดภัย vs. เซิร์ฟเวอร์ที่ไม่ปลอดภัย:
เปอร์เซ็นต์ของฐานข้อมูลที่ถูกเข้าถึงโดยไม่มีการตรวจสอบด้านความปลอดภัย ต้องกรอกรหัสผ่านหรือการเข้าถึงถูกปิดกั้นโดยสมบูรณ์
-
เปอร์เซ็นต์ขนาดของเซิร์ฟเวอร์:
ฐานข้อมูล Elasticsearch ที่สแกนต่ำกว่า 1GB, ระหว่าง 1-100GB หรือมากกว่า 100GB อยู่ที่เปอร์เซ็นต์ใด
-
จำนวนของรายการที่ถูกเปิดเผยในการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตรวม:
จำนวนของไฟล์ที่เข้าถึงได้สาธารณะจากฐานข้อมูล Elasticsearch ที่ไม่ได้รับการป้องกันทั้งหมดในช่วงเวลาที่กำหนด
-
จำนวนของการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตที่เกิดขึ้นจากผู้กระทำที่ไม่ดีรวม:
มีเซิร์ฟเวอร์ที่ไม่ปลอดภัยที่ตกเป็นเป้าการโจมตีอย่าง Meow ซึ่งส่งผลให้เกิดการโจรกรรมหรือลบข้อมูลมากแค่ไหน
ภัยคุกคามที่พบบ่อยที่สุดหลังจากที่เกิดการรั่วไหลของข้อมูล (สำหรับผู้ที่ถูกเปิดเผย)
Depending on the type of data stolen during a breach, there are multiple ways in which it can
be used against those who had their data exposed:
-
การโจรกรรม
—ข้อมูลที่ถูกขโมยอาจถูกนำไปใช้เพื่อหาผลประโยชน์ทางด้านการเงินโดยตรงหากข้อมูลอย่างรายละเอียดบัตรเครดิตถูกขโมยไปหรืออาจถูกนำไปใช้เพื่อการโจรกรรมตัวตนหากรายละเอียดข้อมูลส่วนบุคคลที่เป็นความลับเกิดรั่วไหล
-
แบล็กเมล์
—ผู้โจมตีอาจใช้ข้อมูลที่ได้รับมาเพื่อแบล็กเมล์ผู้ที่ถูกเปิดเผย โดยเฉพาะอย่างยิ่งด้วยข้อมูลทางด้านสุขภาพหรือข้อมูลทางด้านการเงินที่เป็นความลับ
-
การเข้ายึดบัญชี
—ข้อมูลที่ถูกขโมยอาจถูกนำไปใช้เพื่อเข้าถึงบัญชีในบริการต่าง ๆ หากมีการใช้ข้อมูลสำหรับการลงชื่อเข้าใช้เหมือนกันหรือเพื่อเข้าถึงบัญชีที่เชื่อมโยงกับผู้ให้บริการที่รั่วไหล
-
ฟิชชิ่ง/สแกม
—หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลมากเพียงพอ มันอาจถูกใช้เพื่อปรับแต่งการโจมตีฟิชชิ่งหรือสแกมให้มีประสิทธิภาพมากขึ้น นี่อาจหลอกให้ผู้คนเปิดเผยข้อมูลที่เป็นความลับมากยิ่งขึ้นอย่างบัตรเครดิตหรือข้อมูลการธนาคารได้
ค่าเสียหายของการรั่วไหลข้อมูลสำหรับบริษัท
Data breaches don’t only affect those whose data was stolen, but also those who were initially entrusted to keep the data safe.
Companies affected by a data breach are likely to suffer from:
-
ผลที่ตามมาทางด้านกฎหมาย
—ด้วยธรรมชาติของบริษัทมากมายทั่วโลก การรั่วไหลของข้อมูลจึงอาจหมายความได้ถึงปัญหาทางด้านกฎหมายในเขตอำนาจศาลมากมาย นี่อาจส่งผลให้เกิดค่าใช้จ่ายทางกฎหมายราคาแพงซึ่งอาจเป็นภัยคุกคามต่อการดำรงอยู่ของบริษัท
-
ความเสียหายทางด้านชื่อเสียง
—การสูญเสียความไว้วางใจจากลูกค้าหลังจากที่เกิดการรั่วไหลครั้งใหญ่นั้นมีแนวโน้มจะเสียหายอย่างมาก ลูกค้าพึ่งพาบริษัทให้เก็บรักษาข้อมูลของพวกเขาให้ปลอดภัย ดังนั้นเมื่อบริษัทล้มเหลวในการดำเนินการดังกล่าวก็มีโอกาสที่บริษัทอาจจะต้องปิดตัวลง ในความเป็นจริงแล้วค่าใช้จ่ายของการสูญเสียของธุรกิจที่เกิดจากการรั่วไหลของข้อมูลอยู่ที่ประมาณ $1.4 ล้านเหรียญโดยเฉลี่ย
-
การโจรกรรม
—ตั้งแต่ทรัพย์สินทางปัญญาไปจนถึงข้อมูลทางด้านการเงิน ข้อมูลที่ถูกขโมยอาจนำไปสู่ความเสียหายในรูปแบบต่าง ๆ มากมายได้
-
ค่าปรับ
—การไม่สามารถปฏิบัติตามข้อบังคับในการป้องกันข้อมูลได้นั้นจะก่อให้เกิดค่าใช้จ่ายทางตรงในรูปแบบของค่าปรับมากขึ้น ตัวอย่างเช่น การรั่วไหลของข้อมูลของ Equifax ในปี 2017 ส่งผลให้สำนักงานคณะกรรมการการค้าแห่งสหพันธรัฐสหรัฐอเมริกาสั่งให้บริษัทจ่ายค่าปรับเป็นจำนวนเงิน $700 ล้านเหรียญ
5 การรั่วไหลของข้อมูลที่ยิ่งใหญ่ที่สุดในประวัติศาสตร์
การรั่วไหลของข้อมูลที่ยิ่งใหญ่ที่สุดในประวัติศาสตร์ในปัจจุบันส่งผลกระทบต่อบริษัทที่ใหญ่ที่สุดและได้รับความไว้วางใจมากที่สุดที่ยังเปิดให้บริการอยู่บางบริษัท ไม่น่าแปลกใจที่ผู้คนสองในสามออนไลน์ถูกขโมยข้อมูลหรือรุกล้ำในปี 2018 ในโลกออนไลน์
เป็นเรื่องน่าสนใจที่บริษัทชั้นนำทั้งหมดที่ได้รับผลกระทบนั้นเป็นบริษัทสัญชาติอเมริกาที่ที่ค่าใช้จ่ายของการรั่วไหลของข้อมูลนั้นเฉลี่ยอยู่ที่ $8.2 ล้านเหรียญซึ่งสูงกว่าทั่วโลกมาก
-
Yahoo — Yahoo ถูกโจรกรรมข้อมูลไปถึง 3 พันล้านรายการ (บัญชีทั้งหมดที่มีอยู่ในบริการดังกล่าว ณ เวลานั้น) ตอนที่พวกเขาถูกแฮกในปี 2013 นี่รวมถึงชื่อ ที่อยู่อีเมลและรหัสผ่าน พวกเขาถูกแฮกอีกครั้งในปี 2014 ตอนที่ใครสักคนขโมยข้อมูลไป 500 ล้านรายการ
-
First American Corporation — ผู้ให้บริการด้านประกันภัยได้ถูกละเมิดข้อมูล 885 ล้านรายการเนื่องจากความปลอดภัยที่ย่ำแย่ ข้อมูลดังกล่าวรวมถึงหมายเลขประกันสังคม ใบขับขี่และอื่น ๆ อีกมากมาย
-
Facebook — ความปลอดภัยที่ย่ำแย่นำไปสู่การรั่วไหลของข้อมูล 540 ล้านรายการในปี 2019 ซึ่งรวมถึงชื่อบัญชี ข้อมูลการแสดงความคิดเห็น เพื่อน รูปภาพ การเช็กอินและแม้กระทั่งรหัสผ่านของผู้ใช้จำนวน 22,000 ราย
-
Marriott International — เครือโรงแรมแห่งนี้สูญเสียข้อมูลไป 500 ล้านรายการตอนที่กลุ่มชาวจีนเข้าแฮกในปี 2018 ข้อมูลดังกล่าวรวมถึงชื่อ ข้อมูลหนังสือเดินทาง อีเมล หมายเลขโทรศัพท์ ที่อยู่และอื่น ๆ อีกมากมาย
-
Friend Finder Networks — การโจมตีส่งผลให้มีการโจรกรรมข้อมูลมากกว่า 410 ล้านรายการ แม้ว่ามันจะไม่เปิดเผยข้อมูลส่วนบุคคลโดยละเอียด แต่มันก็ยังสามารถยืนยันได้ว่าใครบ้างที่เป็นสมาชิกของเว็บไซต์ดังกล่าว
เคล็ดลับ: วิธีป้องกันตัวคุณเองจากการรั่วไหลของข้อมูล
There are a few things you can do to ensure that the impact of a data breach on you
personally remains as small as possible:
ใช้ข้อมูลลงชื่อเข้าใช้ที่แตกต่างกันในทุกบัญชี
หากคุณใช้รหัสผ่านเดียวกันในบัญชีต่าง ๆ มากมาย การรั่วไหลของข้อมูลเพียงครั้งเดียวอาจก่อให้เกิดการรั่วไหลในบัญชีต่าง ๆ มากมายได้ในคราวเดียว ใช้ผู้จัดการหรัสผ่านที่น่าเชื่อถือเพื่อที่คุณจะได้ใช้รหัสผ่านที่แข็งแกร่งและแตกต่างกันไปในทุกบริการ
ใช้การยืนยันตัวตนแบบสองขั้นตอน (2FA)
หากข้อมูลลงชื่อเข้าใช้ของคุณถูกขโมยในการรั่วไหล แต่คุณเปิดใช้งาน 2FA เอาไว้ มันจะทำให้ผู้โจมตีแทบไม่สามารถเข้าถึงบัญชีของคุณได้เลยหากไม่มีรหัสเพิ่มเติม
ติดตั้งเครื่องมือตรวจสอบตัวตน
สิ่งนี้จะแจ้งเตือนคุณเมื่อข้อมูลส่วนบุคคลของคุณปรากฏบนเว็บไซต์ข้อมูลที่ถูกขโมยหรือในใบสมัครขอสินเชื่อ โพสต์โซบนโซเชียลมีเดีย คำสั่งซื้อสำหรับสาธารณูปโภคและอื่น ๆ อีกมากมาย วิธีนี้คุณจะสามารถตอบสนองได้ทันทีที่คุณทราบว่าข้อมูลบางส่วนของคุณถูกขโมย
คำถามที่พบบ่อย: เครื่องมือติดตามการรั่วไหลของข้อมูลและ Elasticsearch
เครื่องมือติดตามการรั่วไหลของข้อมูล (Data Breaches Tracker) สามารถสแกนเว็บไซต์ได้มากแค่ไหน?
เริ่มต้น 100% แต่เราจำกัดให้แคบลงเหลือ 0.06% เราสแกนทั้งอินเทอร์เน็ตเพื่อมองหาหมายเลข IP ที่น่าจะเปิดใช้งาน Elasticsearch สัปดาห์ละครั้ง — ประมาณ 250,000 โดยรวม วิธีนี้จะทำให้ทั้งเว็บแคบลงเหลือประมาณ 0.06% ซึ่งเราสแกนเป็นประจำเพื่อให้มีการอัปเดตบ่อยที่สุดเท่าที่จะเป็นไปได้
เราจะใช้เครื่องมือติดตามการรั่วไหลของข้อมูล (Data Breaches Tracker) ไปเพื่ออะไร?
เครื่องมือติดตามการรั่วไหลของข้อมูล (Data Breaches Tracker) เป็นวิธีที่ดีสำหรับการประเมินช่องโหว่ของเซิร์ฟเวอร์ทั่วโลกและวิเคราะห์วิธีพัฒนาความปลอดภัยของฐานข้อมูลทั่วโลก นื่องจากมีฐานข้อมูลที่อ่อนแอนจำนวนมาก เราหวังว่าสิ่งนี้จะสามารถช่วยกระตุ้นองค์กรและผู้ใดก็ตามที่เก็บรักษาข้อมูลความลับเอาไว้ในเซิร์ฟเวอร์ที่ไม่ปลอดภัย เมื่อพิจารณาถึงค่าใช้จ่ายเฉลี่ยของการรั่วไหลของข้อมูลทั่วโลกที่มีมูลค่าต่ำกว่า $4 ล้านเหรียญแล้ว การที่บริษัทจะต้องป้องกันฐานข้อมูลที่มีช่องโหว่ให้ได้โดยเร็วที่สุดนั้นจึงถือเป็นเรื่องที่สำคัญ
Elasticsearch คืออะไร?
Elasticsearch เป็นเครื่องมือค้นหาฐานข้อมูลที่ใช้เพื่อจัดเรียงและค้นคว้าในประเภทข้อมูลต่าง ๆ มีการนำไปใช้งานมากมายซึ่งรวมถึงการค้นหาแอปพลิเคชัน การวิเคราะห์การบันทึก การตรวจสอบประสิทธิภาพและการวิเคราะห์ความปลอดภัย ผู้ใช้ชื่นชอบในความเร็วและความสามารถในการค้นหาผ่านปริมาณข้อมูลขนาดยักษ์ภายในเสี้ยววินาที มันได้รับการจัดอันดับให้เป็นหนึ่งในเครื่องมือค้นหาฐานข้อมูลที่เป็นที่นิยมมากที่สุดในโลก
การโจมตี Meow คืออะไร?
การโจมตีทางไซเบอร์ Meow เป็นการโจมตีแบบทำลายล้างซึ่งแตกต่างจากการโจมตีอื่น ๆ มันไม่แสวงหาผลกำไรใด ๆ มันจะค้นหาฐานข้อมูลที่ไม่ได้รับการป้องกันและลบเนื้อหาทั้งหมดที่มีอยู่และทิ้งคำว่า “Meow” เขียนเอาไว้ในฐานข้อมูลที่ได้รับผลกระทบ มันไม่เพียงแต่ส่งผลกระทบต่อฐานข้อมูล Elasticsearch เท่านั้น แต่ยังรวมถึง MongoDB, Cassandra, Hadoop และอื่น ๆ อีกมากมายด้วย
มีการโจมตีทางไซเบอร์ประเภทใดบ้างที่พุ่งเป้าไปที่เซิร์ฟเวอร์?
นอกจาก Meow ที่กล่าวไปข้างต้นแล้วก็ยังมีประเภทการโจมตีอื่น ๆ อีกมากมายที่พุ่งเป้าไปที่เซิร์ฟเวอร์ซึ่งรวมถึง:
- การโจมตีโดยการปฏิเสธการให้บริการ (DoS (Denial of Service) Attacks) — ผู้โจมตีจะทำให้เซิร์ฟเวอร์มีการใช้งานมากเกินกว่าที่เซิร์ฟเวอร์จะรับมือได้ซึ่งส่งผลให้กระบวนการเกิดออฟไลน์เป็นการชั่วคราว
- การโจมตีโดยการคาดเดา (Brute Force Attacks) — โดยการคาดเดาจำนวนรหัสผ่านมากมายอย่างรวดเร็ว การโจมตีเหล่านี้จะพยายามทำเพื่อให้ได้สิทธิ์ในการเข้าถึงบัญชีที่มีสิทธิพิเศษเซิร์ฟเวอร์ที่มากขึ้น
- การโจมตีช่องโหว่ไดเรกทอรี่ (Directory Traversal) — ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงไดเรกทอรี่เว็บที่ที่พวกเขาสามารถออกคำสั่งหรือค้นหาข้อมูลความลับได้
- การโจมตีเว็บไซต์ (Website Defacement) — ผู้โจมตีจะกรอกข้อมูลที่เป็นอันตรายหรือไม่เกี่ยวข้องเข้าไปในฐานข้อมูล ดังนั้นเมื่อผู้ใช้ที่ถูกต้องตามกฎหมายเรียกใช้ข้อมูลนี้ พวกเขาจะเห็นผลลัพธ์ที่ “เสีย” จากการโจมตี
ประเภทของฐานข้อมูลอื่น ๆ ใดบ้างที่ถูกเปิดทิ้งไว้บนอินเทอร์เน็ต?
ฐานข้อมูลเกือบทั้งหมดอาจถูกปล่อยไว้ไม่ได้รับการป้องกันและเปิดสำหรับการโจมตีบนอินเทอร์เน็ต อย่างไรก็ตามฐานข้อมูลบางส่วนมักจะถูกเปิดไว้สำหรับการโจมตี ได้แก่ MongoDB, Cassandra, Hadoop และ Jenkins
จะแก้ไขฐานข้อมูลที่ไม่ปลอดภัยอย่างได้ไร?
Elasticsearch ประกอบไปด้วยกลไกภายในตัวมากมายสำหรับการยืนยันตัวตนผู้ใช้ ดังนั้นจึงมีเฉพาะผู้ใช้ที่ได้รับการตรวจสอบแล้วเท่านั้นที่สามารถลงชื่อเข้าใช้และดูข้อมูลบนเซิร์ฟเวอร์ได้ อย่างไรก็ตามสิ่งนี้เพียงอย่างเดียวอาจไม่เพียงพอ เนื่องจากผู้ใช้ควรได้รับสิทธิพิเศษที่เกี่ยวข้องเพื่อที่พวกเขาจะได้สามารถดูเฉพาะข้อมูลที่พวกเขามีสิทธิ์ดูได้เท่านั้น ใน Elasticsearch สิ่งนี้เป็นที่รู้จักกันในชื่อ “กลไกการควบคุมสิทธิ์ในการเข้าถึงตามหน้าที่” (RBAC) — โดยพื้นฐานแล้วผู้ใช้ทุกคนจะได้รับมอบหมายหน้าที่และสิทธิพิเศษที่เกี่ยวข้องเพื่อเพิ่มความปลอดภัยของข้อมูลมากยิ่งขึ้น
แน่นอนว่าความปลอดภัยนั้นมีความลึกซึ้งมากกว่าสิ่งนี้ แต่ด้วยการติดตั้งการยืนยันตัวตนขั้นสูง เซิร์ฟเวอร์มากมายจะปลอดภัยมากยิ่งขึ้น
เครื่องมือติดตามการรั่วไหลของข้อมูล (Data Breaches Tracker) ทำงานอย่างไร?
เครื่องมือติดตามการรั่วไหลของข้อมูล (Data Breaches Tracker) ของเราจะสแกนเว็บไซต์ทุกสัปดาห์โดยจะมองหาฐานข้อมูล Elasticsearch ที่ไม่ได้รับการป้องกันซึ่งอาจจะก่อให้เกิดการรั่วไหล (หรือเกิดไปแล้ว) เป็นพิเศษ จากนั้นมันจะจัดเก็บข้อมูลนี้และแสดงมันในรูปแบบของแผนภูมิโดยละเอียดที่มีตัวแปรมากมายเพื่อที่คุณจะได้สามารถวิเคราะห์ช่วงระยะเวลาและข้อมูลที่คุณต้องการได้อย่างแม่นยำ
