Как взламывают базы данных: разбор кейсов и типичных ошибок компаний

Рассказываю, какие слабые места делают базы данных уязвимыми. 

Базы данных (БД) – это настоящие клады, где хранятся персональные данные, финансовые отчеты, коммерческие тайны и иная чувствительная информация. Поэтому неудивительно, что компании любых размеров – от стартапов до гигантов вроде Sony и Tesla – регулярно становятся жертвами атак, направленных именно на взлом БД.

Последствия таких атак могут быть катастрофическими: от миллионных штрафов и судебных разбирательств до серьёзного урона репутации. Но ирония в том, что в большинстве случаев взломы происходят не из-за гениальности хакеров, а из-за банальных ошибок самих компаний. Разберём самые распространённые уязвимости.

SQL-инъекции как «вечная классика»

Некоторые взломы настолько показательны, что их можно включать в учебные пособия по информационной безопасности. Один из таких случаев – атака группировки LulzSec на Sony Pictures в 2011 году. Хакеры использовали SQL-инъекцию, чтобы получить доступ к более чем миллиону пользовательских записей, причём в открытом виде.

Казалось бы, после такого громкого инцидента компании должны были сделать выводы, но нет. Например, в 2023 году снова благодаря SQL-инъекциям группировка ResumeLooters провела серию атак сразу на 65 сайтов и похитила более двух миллионов записей.

Что позволяет хакерам до сих пор успешно проворачивать этот трюк? Компании продолжают допускать те же ошибки: не проводят пентесты или делают это нерегулярно, не применяют DevSecOps дисциплины, не ограничивают права доступа к БД на должном уровне и имеют низкую скорость реакции на аномалии. Поэтому преступники и сегодня успешно манипулируют SQL-запросами, посылаемыми на сервер, обходят авторизацию, получают несанкционированный доступ и могут изменять или удалять данные в базе.

Как защититься? Во-первых, фильтровать и проверять пользовательский ввод, даже если кажется, что угроза маловероятна. При этом использовать подготовленные SQL-запросы (prepared statements) в сочетании с ORM-фреймворками, а также применять сканеры приложений на подобные уязвимости – в идеале следует заказывать испытания у специалистов.

Во-вторых, ограничить права доступа к БД по принципу минимальных привилегий даже для суперпользователей. В-третьих, внедрять технологии типа Database Firewall, которые анализируют запросы к базе данных и блокируют подозрительную активность, предотвращая атаки. Ну и, конечно, не хранить чувствительные данные – или хотя бы пароли пользователей – в БД в открытом виде.

Zero-day уязвимости, или игра на опережение

Некоторые атаки происходят потому, что преступники находят «дыры» раньше, чем компании успевают их закрыть. Такие уязвимости называются zero-day. Например, в 2024 году китайские хакеры использовали критические уязвимости в нескольких версиях продукта Ivanti Connect Secure Access (CSA), атакуя облачные инфраструктуры множества компаний. Причем некоторые из жертв использовали устаревшие версии ПО, которые вообще уже не получали обновлений.

Почему это происходит? Одна из причин – несвоевременная установка обновлений, будь то из-за нехватки ресурсов, недооценки угроз или банальной халатности. А также слабый мониторинг активности привилегированных пользователей, ведь порой атаки становятся возможными именно из-за неконтролируемого внедрения стороннего софта.

Пример: при выполнении горящей задачи администратор без согласования с кем бы то ни было установил программное обеспечение. Хакеры быстро обнаружили софт через сканирование, узнали, что версия содержит уязвимость, и тут же приступили к атаке. В теории софт можно было бы обновить, но о его существовании никто, кроме администратора, не знал, а сканеры внутри по каким-то причинам не отработали.

Чтобы исключить подобные ситуации, необходимо запретить установку любых программ, кроме заранее одобренных и внесённых во внутренний реестр. Однако, важно понимать, что на этом этапе вопрос переходит в организационную плоскость. И чтобы администратор физически не мог установить ПО без внесения его в декларативную модель, можно применять GitOps-подход в управлении инфраструктурой. Ведь настоящая защита начинается тогда, когда любой узел по умолчанию блокирует доступ, а также установку и обновление ПО пока не будут заданы четкие исключения. А если в дополнение к этому обладать актуальной информацией о версиях ПО на всех узлах, это даст возможность оперативного обновления при выявлении новых уязвимостей и позволит исключить любую незадекларированную активность в системе.

Credential stuffing, phishing, brute force

В июле 2024 года компания Roku подверглась масштабной атаке, в результате которой были скомпрометированы 576 000 аккаунтов пользователей. Хакеры использовали подстановку учётных данных (credential stuffing) из базы с ранее похищенными логинами и паролями.

Но даже если база с логинами и паролями не утекла, взлом возможен через фишинг, когда пользователи сами передают свои данные, думая, что авторизуются на легитимном сайте. Либо посредством brute force, когда хакеры просто перебирают слабые пароли. Этот метод не теряет своей эффективности, потому что даже привилегированные пользователи, как показывают исследования, часто устанавливают пароли вроде «admin» или – верх креатива – «Password».

Как защититься? Как минимум за счет усиления политики паролей, причем не просто на бумаге. Система должна автоматически блокировать попытки установки слабых паролей, то есть это нужно заложить на уровне технических регламентов. Но и этого недостаточно. Даже сильный пароль не спасёт, если его украдут. Именно поэтому критически важны многофакторная аутентификация (MFA), хранение паролей в хешированном виде и минимизация привилегий как на уровне доступа к данным, так и на уровне работы с системой.

Роль человеческого фактора

Часто именно сотрудники являются слабым звеном в системе безопасности. Кто-то, как обычно, не успевает писать инструкции, а кто-то – даже если инструкции есть, игнорирует их, потому что так удобнее или быстрее. Кто-то пренебрегает правилами под давлением дедлайнов, а кто-то, создавая временные «дыры», забывает их потом закрыть. Результат при этом один и тот же – информация утекает в сеть.

Вот только ошибки и небрежность в работе – это только полбеды. Целенаправленные злонамеренные действия также представляют серьезную угрозу. Относительно свежий кейс – утечка данных Tesla 2023 года. Тогда двое сотрудников украли более 100 ГБ данных, включая персональную информацию клиентов и внутренние документы компании.

Проблема в том, что традиционные методы защиты плохо справляются с инсайдерами. Если сотрудник хочет украсть данные, он найдёт способ обойти систему. Например, сделает фото экрана телефоном. Да, существуют системы невидимой маркировки документов (Information Leak Detection – ILD), которые могут помочь выявить источник утечки, но это не предотвратит сам факт хищения.

Поэтому ключевая ошибка компаний – пытаться выстроить систему безопасности без учета человеческого фактора и предоставлять избыточные права доступа. Ведь в реальности для успешного выполнения сотрудниками той или иной задачи требуется крайне мало информации. Примеров масса. Так, работнику техподдержки необязательно видеть номер телефона клиента полностью, по сути, достаточно последних 4 цифр – и то только в том случае, если требуется проверка входящего звонка, а этот процесс нельзя автоматизировать. Менеджеру по продажам телефон, конечно, нужен, но требуются ли ему паспортные данные? И должен ли он вообще видеть карточку клиента с контактной информацией до того, как снял трубку телефона для набора номера?

В идеале эти ограничения должны быть заложены на уровне бизнес-логики приложения. Однако в реальности далеко не все компании разрабатывают софт под свои потребности. Здесь на помощь приходят решения, позволяющие вводить контроль доступа без переработки приложения. Например, можно применять динамическое маскирование данных, чтобы сотрудник видел только те фрагменты информации, которые действительно необходимы для его работы, или настраивать гибкие политики доступа.

Понятно, что можно бесконечно говорить о методах атак, но безопасность начинается с довольно простых вещей. Шифрование данных, многофакторная аутентификация, контроль доступа, минимизация привилегий, мониторинг активности, автоматизированное блокирование аномалий и регулярные обновления. Сегодня это не «дополнительные меры», а базовые правила выживания. Да, внедрение этих технологий по отдельности потребует времени и ресурсов, но на рынке уже можно найти системы, предоставляющие минимальный набор необходимых функций. Например, те же решения класса Data Security Platform, модель которых аналитики Gartner предложили еще в 2021 году.

Альтернативы? Позитивных, увы, не вижу. Ведь уже в текущем году вступят в силу новые штрафы за утечку персональных данных, причем за повторные инциденты суммы могут достигать 3% от оборота компаний.