Publié le 18 juin 2018
L'année dernière a été marquée par de nombreuses violations de données causées par des opérateurs hébergeant accidentellement des serveurs de base de données sur l'internet public.1 Dans de nombreux cas, ces serveurs - qui n'auraient jamais dû être accessibles - étaient configurés avec une authentification médiocre ou totalement absente.
Afin d'aider les entreprises à vérifier si elles ont exposé des bases de données par erreur, nous avons ajouté l'analyse de quatre serveurs de bases de données relationnelles populaires: MySQL, PostgreSQL, Microsoft SQL Server et Oracle Database. Nous ajouterons également la prise en charge de Redis, Memcached, MongoDB, Cassandra et Elasticsearch dans le courant de l'année. Nous effectuons un balayage en procédant à un échange initial de protocole avec les hôtes. Nous n'essayons jamais de nous connecter ou de télécharger des données utilisateur à partir des serveurs que nous trouvons.
L'exposition aux bases de données aujourd'hui
L'ampleur des bases de données en ligne est surprenante. Il existe environ 5,5 millions de serveurs de bases de données relationnelles sur l'internet public : 680K MSSQL, 540K Postgres, 94K Oracle, et 4,7M MySQL2 et 4,7 millions de serveurs MySQL 2. Ces hôtes sont répartis sur un grand nombre de réseaux - 25,3 000 systèmes autonomes (SA) contiennent des serveurs de bases de données et aucun SA ne contient plus de 5 % des serveurs publiquement exposés. Les trois réseaux les plus exposés sont OVH, EGI Hosting et Amazon (voir la ventilation complète).
Ces résultats sont en grande partie dus à MySQL, dont le nombre de serveurs est supérieur d'un ordre de grandeur à celui des autres bases de données. Les autres moteurs présentent une plus grande concentration dans un petit nombre de réseaux. Un peu plus de 20 % des serveurs MSSQL et 30 % des serveurs PostgreSQL sont hébergés par le fournisseur polonais home.pl. Au-delà de home.pl, nous observons un grand nombre de serveurs chez des fournisseurs de services en nuage populaires comme Amazon, Azure, Hetzer et OVH. Il existe également une tendance notable vers de nombreux réseaux asiatiques. Par exemple, environ 20 % des serveurs Microsoft SQL et 30 % des serveurs Oracle en ligne sont situés en Chine et en Corée. Cependant, bien que de nombreux serveurs se trouvent chez des fournisseurs populaires, il existe des dizaines de milliers d'autres réseaux qui contiennent un ou deux serveurs et qui sont probablement tout aussi inquiétants.
Pour suivre l'évolution de l'exposition des bases de données, nous publions un tableau de bord en temps réel, le Rapport sur l'exposition des bases de données relationnelles, qui présente des données en temps réel sur l'exposition des bases de données relationnelles.
Vérifiez que votre réseau n'est pas exposé
Si certains de ces serveurs peuvent être intentionnellement connectés à l'internet, nous soupçonnons qu'un grand nombre d'entre eux ne le sont pas. La meilleure pratique consiste à ne pas rendre les serveurs de base de données accessibles au public. Vous pouvez vérifier si des bases de données ont été exposées sur votre propre réseau en recherchant le tag database.
À propos de Censys, Inc.
Censys est une société de sécurité de l'information basée à Ann Arbor qui aide les organisations à sécuriser le périmètre de leur réseau en surveillant en permanence tous les hôtes connectés à Internet. Censys indexe les dispositifs et les services en effectuant des milliards d'échanges de réseau et de recherches DNS par heure. Cette perspective permet de découvrir des actifs inconnus et de fournir des informations de sécurité exploitables aux organisations de toutes tailles. Censys fournit également des données globales aux chasseurs de menaces, aux testeurs de pénétration et à la communauté de recherche au sens large.[plus d'informations].
Vous aimez la sécurité et jouer avec les données ? Censys recrute plusieurs ingénieurs logiciels pour des postes à temps plein. Consultez notre page carrières pour plus d'informations.
1 Verizon DBIR 2018: "Les erreurs étaient au cœur de près d'une brèche sur cinq (17 %). [...] Les mauvaises configurations, notamment les bases de données non sécurisées, ainsi que les erreurs de publication étaient également répandues."
2 Sur les 4,7 millions de serveurs MySQL, 2,4 millions n'autorisent pas les connexions Internet, renvoyant un message d'erreur "Host not Privileged" (hôte non privilégié) ou "Host Blocked" (hôte bloqué). Bien que nous soyons heureux que les opérateurs limitent l'accès à des adresses IP spécifiques, nous encourageons ces utilisateurs à bloquer tout accès à ces serveurs. Nous n'essayons pas de nous connecter à n'importe quel serveur que nous trouvons en ligne, mais nous pensons que les 2,3 millions restants autorisent les connexions Internet.