Компании сегодня могут арендовать облачные серверы. Но для того чтобы хранить информацию там было безопасно, нужно уметь управлять ими. Что будет, если не уделить этому должного внимания, и могут ли хакеры получить в этом случае все данные – об этом в статье.
Исследование, проведённое Эриком Поли, аспиранта в области компьютерных наук и инженерии университета штата Пенсильвания (США), и другими учёными показало, что злоумышленники могут с лёгкостью получить личные данные, если облачные серверы не будут достаточно безопасными.
Вообще различным компаниям проще создавать и поддерживать мобильные приложения, сайты, когда им не нужно думать о серверах и об управлении ими. Но в этом случае безопасность данных, которые там хранятся, оказывается под угрозой.
Каждый облачный сервер имеет собственный IP-адрес. Он даёт возможность пользователю подключиться к этому сервису и отправлять данные. Когда организации оказывается не нужен этот адрес, он передаётся другому клиенту. При этом адреса меняются каждые полчаса, так как компании меняют свои услуги.
В чём же опасность? Дело в том, что если организация перестаёт пользоваться облачным сервером, но не удаляет ссылки на старый IP-адрес, то другие пользователи могут продолжить отправлять свои данные на этот адрес. При этом устройства, с которых люди будут заходить на сервер, будут пересылать туда информацию об их местоположении, историю просмотров веб-страниц, финансовые данные.
Злоумышленник может воспользоваться всем этим, если проникнет в «облако». Он может получить IP-адреса и увидеть интернет-трафик компании. И хакер будет в курсе всех данных до тех пор, пока организация не заметит проблему.
В ходе проведённого исследования Эриком Поли и другие специалисты обнаружили тысячи компаний, которые могли допускать утечку данных их пользователей. В том числе это были данные, полученные из мобильных приложений и рекламных трекеров. То есть мобильные приложения должны были отправлять информацию о человеке другим компаниям и рекламодателям, но вместо этого все данные переходили тому, кто контролировал IP-адрес. Кроме того, любой, у кого есть облачная учётная запись, способен точно так же собирать информацию из компаний, которые мало внимания уделяют безопасности.