Waarom zijn er zoveel datalekken door onbeveiligde databases?
Het was in september weer nieuws: de persoonlijke gegevens van miljoenen Ecuadoranen lagen op straat. Ze waren aangetroffen op een onbeveiligde server van het Ecuadoraanse bedrijf DataBook. De server stond zelf in Duitsland.
De details zijn elke keer weer anders, maar onderzoekers en hackers treffen regelmatig gevoelige data aan in databases die onbeveiligd en openbaar zijn. Hoe kan dat eigenlijk? Waarom zijn er zoveel databases zo gemakkelijk in te zien?
Dat een server of database openbaar is, betekent eigenlijk alleen: deze is in te zien vanaf het open internet waar iedereen bij kan als je het adres hebt en de juiste inloggegevens.
Heeft een bedrijf geen wachtwoord of andere inlogbeveiliging toegevoegd? Dan spreken we van een onbeveiligde database. Een onbeveiligde database hoeft niet eens gehackt te worden, de gelukkige vinder loopt zo naar binnen.
Servers lekken soms data
Het vinden van openbare databases is niet zo ingewikkeld als het lijkt. Er zijn zelfs gespecialiseerde zoekmachines die bepaalde databases voor je kunnen doorzoeken.
Dat gaat niet alleen via de klassieke manier zoals we het kennen van Google. Gebruikers kunnen ook programma's schrijven die de inhoud van deze zoekmachines afspeuren naar interessante servers die publiek toegankelijk zijn.
Cybersecurityonderzoekers zoals het team achter de website vpnMentor scannen regelmatig internetpoorten op zoek naar kwetsbaarheden en open ingangen. Op die manier proberen ze te achterhalen of een server data 'lekt'.
"Kwaadwillenden kunnen zo'n server net zo gemakkelijk vinden als wij", schrijft een woordvoerder van het onderzoeksteam van vpnMentor. "Zij kunnen die data vervolgens stelen of manipuleren."
Dit soort datalekken waren het afgelopen jaar regelmatig in het nieuws. "We hebben meer onbeveiligde servers gevonden dit jaar dan voorheen", schrijft de woordvoerder. "Maar we zijn die cijfers nog aan het analyseren."
Hoe kan het zijn dat een server onbeveiligd online staat?
"Vaak installeren mensen een database onder de veronderstelling dat niemand anders er bij kan", aldus de woordvoerder. "Maar als je niet de goede instellingen gebruikt, kunnen ze dat wel."
Er wordt ook wel vaker gesproken over "slecht ingestelde" servers. In zo'n geval doelt de schrijver niet alleen op slecht beveiligde data, maar kan dat ook betekenen dat de eigenaar van de server niet alle beveiligingsupdates heeft meegenomen.
Dat kan bijvoorbeeld gebeuren omdat hij er de tijd niet voor had of omdat hij niet zeker is dat de update zijn systeem niet lam legt. In dat geval kan een hacker binnenkomen via kwetsbaarheden die in de nieuwe versies al gedicht zijn.
Verder denken veel bedrijven niet goed na over wie er toegang mag hebben tot de data, aldus vpnMentor. "Dergelijk bedrijfsbeleid moet je dan ook handhaven." Dat geldt ook voor oude databases: te veel bedrijven laten die rondslingeren op internet, terwijl ze al lang niet meer gebruikt worden.
De belangrijkste regel? "Laat nooit een database waar geen inloggegevens voor nodig zijn openstaan voor het internet."
Misbruik neemt toe
De FBI heeft overigens een creatieve nieuwe manier bedacht om misbruik van databases tegen te gaan: de federale politiedienst adviseert bedrijven om nepdata op de servers te plaatsen. De bedoeling? Hackers verwarren, aldus Ars Technica.
Dit soort technieken zullen de komende tijd alleen nog maar belangrijker worden. Het aantal datalekken nam in de eerste drie kwartalen van 2019 met 33 procent toe ten opzichte van dezelfde periode in het jaar ervoor, blijkt uit onderzoek van Risk Based Security. Van de 7,9 miljard stuks data die gestolen werden, was circa 6 miljard te wijten aan "slecht ingestelde databases, backups en diensten".