0
0
Muitos administradores de lojas online estão armazenando backups privados em pastas públicas e expondo senhas de banco de dados, chaves API secretas , URLs de administrador e dados de clientes para invasores que sabem onde procurar.
“Segredos expostos foram usados para obter o controle de lojas, extorquir comerciantes e interceptar pagamentos de clientes”, dizem os pesquisadores de ameaças da Sansec.
Procurando por backups expostos
Os pesquisadores analisaram 2.037 lojas online de vários tamanhos e executando várias plataformas de comércio eletrônico e descobriram que 250 delas (12%) armazenavam arquivos na pasta pública da web, acessível a todos.
“Colaboramos com alguns de nossos maiores parceiros de hospedagem, então acredito que o grupo de amostra é representativo da população global”, disse Willem de Groot, fundador da Sansec, à Help Net Security.
“Além de testar os arquivos de backup (sql/zip/tar), testamos se os arquivos estavam realmente disponíveis na web. Usamos solicitações HTTP HEAD para isso, para que pudéssemos afirmar o tamanho real do arquivo sem baixar os arquivos de backup.”
Infelizmente, os cibercriminosos podem fazer a mesma coisa – e eles fazem.
“Observamos ataques automatizados contra lojas online, onde milhares de possíveis nomes de backup são tentados ao longo de várias semanas. O ataque inclui permutações inteligentes com base no nome do site e nos dados DNS públicos, como /db/staging-SITENAME.zip”, explicaram os pesquisadores .
“Como essas sondagens são muito baratas de executar e não afetam o desempenho do armazenamento de destino, elas podem durar indefinidamente até que um backup seja encontrado. A Sansec encontrou vários padrões de ataque de dezenas de IPs de origem, sugerindo que vários atores estão trabalhando para explorar essa vulnerabilidade.”
O que fazer?
Seja por engano, por desatenção ou apenas por desconhecimento, alguns backups podem acabar em pastas públicas, e os administradores de lojas virtuais fariam bem em verificar se eles fazem parte dessa estatística.
Se os backups foram expostos, os arquivos de log do servidor da web podem mostrar se eles foram baixados. Se tiverem, os administradores devem verificar imediatamente se há contas de administrador não autorizadas, alterar senhas (administrador, conta SSH/FTP, banco de dados) e verificar se há plug-ins de roubo de dados, malware injetado ou scripts de clonagem na web.
Em geral, contas importantes devem ter autenticação multifator ativada e painéis de administração de banco de dados remotos não devem ser expostos à Internet.
Também existem maneiras de evitar a exposição de backups no futuro e incluem ações como configurar o servidor da Web para restringir o acesso a arquivos compactados e agendar backups frequentes para que os backups ad hoc sejam evitados o máximo possível.
FONTE: HELPNET SECURITY