Специалисты по безопасности из компании BinaryEdge доказывают, что многие существующие веб-технологии с точки зрения безопасности вообще не подходят для веба. Их просто нельзя допускать в интернет. Настройки по умолчанию небезопасны, часто нет возможностей для правильной конфигурации шифрования, аутентификации, авторизации и других важных функций. В некоторых даже нет встроенной системы разграничения доступа.
Речь идёт о повсеместно используемых веб-программах.
- Redis — http://redis.io
- MongoDB — https://www.mongodb.org
- Memcached — http://memcached.org
- ElasticSearch — https://www.elastic.co/products/elasticsearch
Redis
Redis — сетевое журналируемое хранилище данных типа «ключ-значение» с открытым исходным кодом, нереляционная высокопроизводительная СУБД.
В конфигурации по умолчанию Redis не предусматривает никакой аутентификации и слушает все сетевые интерфейсы. В результате, в Сети обнаружено 35 330 систем, которые отвечали на запросы и не требовали аутентификации.
Уязвимые системы в общей сложности используют 13,2 Тбайта памяти, открытой для чтения.
MongoDB
В Сети обнаружено 39 134 сервера с незащищенными базами MongoDB.
Общий размер баз данных — 619,8 Тбайт.
Интересный факт. Среди тысяч баз данных без аутентификации обнаружено 347 штук с названием «Информация удалена, потому что ты не защитил базу паролем».
Кто-то целенаправленно работает над образованием сисадминов.
Memcached
Программное обеспечение Memcached, реализующее сервис кэширования данных в оперативной памяти, «светит» наружу 11,3 Тбайт данных в 118 574 инстансах.
ElasticSearch
Распределенный поисковый движок ElasticSearch тоже не может похвастаться особой безопасностью. Специалисты BinaryEdge нашли 8990 серверов, которые отвечали на запросы.
Поисковые движки ставят на крупные информационные системы, поэтому количество открытых данных особенно велико: 531,2 Тбайта. Почти столько же, сколько в базах MongoDB.
Специалисты отмечают тот факт, что во многих случаях на серверах установлены старые версии программ, которые давно не обновлялись. Это значит, что с большой долей вероятности уязвимы не только данные из программы, но и сами серверы.
Среди уязвимых компаний — и маленькие фирмы, и корпорации из списка Топ-500.
Взято с Xakep.ru
В интернете лежит более петабайта незащищённых данных: 3 комментария