組織の 58% がデータ侵害の開示を認めていない
Comparitech の研究者は、公開されているデータベースがないかインターネットを定期的にスキャンしています。このような漏洩を発見した場合、私たちの目標は、責任ある当事者にインシデントを開示して、漏洩したデータを保護するために必要な措置を講じられるようにすることです。最終的には、情報が漏洩したエンドユーザーへの影響を最小限に抑えたいと考えています。
アラートへの応答時間を追跡した結果、半数以上の企業がデータ漏えいの通知に対して応答を送信していないことがわかりました。 Comparitech の研究者によると、調査された 502 件のデータ インシデントにおいて、私たちのアラートに応答を送ったのは 210 の組織だけでした。そのほとんどは返答までに 1 日かかりましたが、返答するまでに最大 17 日かかったものもありました。
調査された暴露は、一般アクセスに公開された安全でないデータベースから生じたものです。データベースに脆弱性があると、権限のない者がデータにアクセスできるようになり、情報が保存されている人のプライバシーとセキュリティが危険にさらされるデータ侵害につながる可能性があります。
私たちが発見したデータベースの一部に保持されている詳細には、アカウントのログイン認証情報 (ユーザー名とパスワード)、名前、生年月日、住所、電話番号、社会保障番号 (SSN) などの個人情報、医療情報、銀行データ、もっと。
データ侵害の開示調査の状況
漏洩が発見されるとすぐに、データベースの所有者を特定し、漏洩について警告する措置を講じます。可能な場合には、漏洩したデータベースの内容も調査し、どのような詳細が公開されたのか、その情報が誰に関係しているのかを特定します。理想的には、データベース所有者は、情報への一般アクセスを閉鎖し、関係者に通知することで、私たちの警告に迅速に対応します。
場合によっては、応答時間が非常に早くなります。私たちは、データベースが安全であることの開示と保証 (その後、私たちが検証します) に対して感謝の意を表す承認を受け取ることがよくあります。ただし、多くの場合、返答が遅れるか、まったく返答がありません。
データ侵害の開示状況を調査するために、過去 12 か月にわたるアラートへの応答時間を追跡しました。組織の 23 パーセント (115) が 24 時間以内にアラートを認識しました。12 パーセント (58 人) は応答に 2 日かかり、2 パーセント (10 人) は 3 日以内に確認を送信しました。さらに 5% (27 社) は、開示への対応に 4 ~ 17 日かかりました。 58パーセント(292人)は、私たちの警告をまったく認識しませんでした。
確認が得られなかった場合でも、引き続きフォローアップを行いました。最終的にはすべてのデータベースがボット攻撃によって保護または破壊されたことがわかりました (詳細は後述)。認識がない理由は明らかではありませんが、場合によっては、企業が事件を「黙らせる」ために侵害の認めを避けようとする可能性があります。他のケース、特にボット攻撃が観察されたケースでは、アラートが無視されているようです。
私たちが発見した公開データベースの大部分は、Elasticsearch (182) データベースと MongoDB (229) データベースでした。これら 2 つは NoSQL データの管理に使用される最も一般的なデータベース タイプであるため、データセットでこれらが頻繁に使用されることは驚くべきことではありません。これらのオプションは強固なセキュリティ機能を提供しますが、構成を誤ると意図せずにセキュリティ機能が公開される可能性があります。私たちの調査で発見された他のかなり一般的なアプリケーション タイプには、Kafka (13)、Jenkins (11)、Zeppelin (13)、および Zookeeper (12) がありました。
データ漏洩への迅速な対応が重要な理由
では、1 日や 2 日は本当に重要なのでしょうか?はい。
私たちの調査によると、反応時間は非常に重要です。以前の研究では、 ハニーポットをセットアップしました 公開された Elasticsearch データベース シミュレーションで構成されます。流出したデータは 8 時間以内に攻撃者によってアクセスされました。
10日ほど放置しておきましたが、期間中に175回攻撃された, 1日平均18回。つまり、応答時間が迅速であれば、機密データが漏洩するリスクを大幅に軽減できます。
研究者がデータを発見する前にデータに公にアクセスできた可能性があるため、応答時間はデータが公開された時間を示すものではないことに留意してください。ハニーポット実験の結果は、攻撃者がこれらの暴露を積極的に求めていることを示しました。
攻撃者が公開されたデータベースを見つける方法の 1 つは、Shodan や Binary Edge などのモノのインターネット (IoT) 検索エンジンを監視することです。実際、最も多くの攻撃が発生した日は、当社のハニーポットが Shodan にインデックスされた日と同じであることがわかりました。しかし、その研究では、データベースがこれらの検索エンジンに表示されるまでに、データは何十回もアクセスされました。。これは、攻撃者が IoT 検索エンジンだけに頼るのではなく、積極的に独自のスキャン ツールを使用して脆弱なデータベースを見つけていることを意味します。
悪意のある攻撃者が公開されたデータを手に入れると、そのデータをさまざまな不正な目的に使用する可能性があります。その情報を次のようなサイバー犯罪に直接使用する人もいます。 フィッシング詐欺 、詐欺、なりすまし、恐喝など。ダークネットなどの地下市場で販売される情報を投稿する人もいます。たとえば、クレジットカードの詳細 1 セットあたり 5 ~ 35 ドルの値が付く ダークウェブ上での「fullz」データ (名前、生年月日、住所、電話番号、SSN などが含まれます) は、1 セットあたり 14 ~ 60 ドルの犯罪収益をもたらす可能性があります。
データの盗難以外にも、データベースは他の種類の攻撃の対象となります。たとえば、ハニーポット実験では、データベースが悪意のあるボットによって攻撃され、データベースの内容が削除され、身代金の支払いを要求されました。チームが観察した他の攻撃には、クリプトジャッキング、資格情報の盗難、構成の変更が含まれていました。 別のハニーポット実験 Comparitech の研究者によって実行された調査では、セキュリティで保護されていないサーバーに送信される悪意のあるリクエストの種類がさらに詳しく説明されています。
データ侵害の公表に関する法律
過去 12 か月以内に、当社の研究者だけで何百件ものデータ侵害が発見されたことは驚くべきことかもしれません。そして、これらの漏洩のうち何件に自分のデータが関与しているのか疑問に思われるかもしれません。これが侵害の一般公開につながります。多くの場合、影響を受ける人々に警告するために、発見した漏洩について詳しく説明する公開レポートを作成します。しかし、情報開示に関して、影響を受ける組織にはどのような責任があるのでしょうか?
ここでは、企業に違反を公表し、エンドユーザーに警告する責任を負わせるために制定された法律の一部を見ていきます。これは法的アドバイスではないことに注意してください。公式情報源から追加情報を求めることをお勧めします。
私たち
アメリカでは各州で 独自の法律がある データ侵害の開示に関して。一般に、ほとんどの州は、そのような法律を制定した最初の州であるカリフォルニア州の先導に従っています。この法律および類似の法律の下では、企業は通常、データ侵害を影響を受ける当事者に書面で開示することが求められます、侵害が発見された直後。
違反も州司法長官に報告する必要がありますが、報告基準は異なります。通常、特定の規模の侵害 (たとえば、500 人または 1,000 人を超える個人に影響を与えるもの) は報告する必要があります。州によっては、権限のない人物が情報にアクセスした可能性があり、その侵害が重大な損害を引き起こす可能性がある場合にのみ侵害を報告する必要があります。
欧州連合
一般データ保護規則 (GDPR) では、一般に、次のようなデータ侵害が発生します。 個人情報 発見後72時間以内に関係当局に報告する必要がある。で概説されているように、 英国情報コミッショナー局 (ICO) : 「違反が個人の権利と自由に悪影響を与える高いリスクをもたらす可能性がある場合、不当な遅滞なくその個人に通知しなければなりません。」
カナダ
個人情報保護および電子文書法 (PIPEDA) に基づき、違反は次のとおり行われなければなりません。 カナダのプライバシー委員会に報告されました 影響を受ける組織による評価により、その侵害が個人に重大な危害をもたらす実際のリスク (RROSH) を引き起こすことが示された場合。侵害の影響を受ける個人には直接通知する必要があります(特定の場合を除きます。 間接的な通知は許可されます )侵害が発見されたらできるだけ早く。
オーストラリア
オーストラリアの企業は、通知可能なデータ侵害スキームの対象となります。 組織および機関 「データ侵害が重大な損害をもたらす可能性があるかどうかを評価するために 30 日の猶予が与えられています。」重大なデータ侵害が発生した場合、影響を受けた組織はオーストラリア情報コミッショナーに報告する必要があります影響を受ける個人に電子メール、電話、またはテキスト メッセージを通じて警告します。
