На выходных в новостях появилась информация о взломе серверов CyberServe. Хакерская группировка Black Shadow, которая также взломала страховую компанию Shirbit, проникла на серверы CyberServe и закрыла десятки веб-сайтов, которые там размещались. Кроме того, хакерам удалось получить доступ к различным базам данных, хранящимся на серверах, и слить их часть. Среди пострадавших веб-сайтов были Dan, Kavim, Mor Institute, Atraf, туристическая компания Pegasus и другие. Национальное кибер-управление заявило в пресс-релизе, что ранее предупреждало Cyberserve о том, что компания уязвима для атак и ей необходимо улучшить безопасность своих серверов.
На момент написания этой статьи веб-сайты по-прежнему не работают. По всей видимости, это веб-сайты, основанные на системе с закрытым исходным кодом. Это означает, что даже если у клиентов были резервные копии веб-сайтов (а скорее всего, их не было), они не могут с ними многое сделать. Веб-сайты, построенные на закрытом коде, не позволяют легко переносить их с одного сервера хранения на другой, поэтому клиенты Cyberserve на 100% зависят от решений, которые сама компания должна им предоставить во время этого кризиса.
На данном этапе мы можем только строить догадки о том, как были взломаны серверы хранения данных. Для этого может быть несколько причин. Одна из возможных причин заключается в том, что компания не ввела строгие требования к паролям для доступа к серверам. Слабые и короткие пароли позволяют хакерам проводить брутфорс-атаки, в ходе которых они за короткий промежуток времени пробуют большое количество паролей. Если пароли недостаточно надежные, можно войти на сервер и получить полный доступ к хранящимся на нем веб-сайтам.
Другая возможность заключается в том, что компании, предоставляющие услуги хостинга веб-сайтов, не всегда обновляют версии операционных систем серверов. Старые операционные системы подвергают серверы и веб-сайты риску взлома.
Кроме того, Cyberserve, возможно, не имела важного компонента безопасности сервера: системы предотвращения вторжений. IPS (система обнаружения вторжений) контролирует сеть и системы и проверяет попытки вторжения и подозрительную активность на сервере. Предупреждения отправляются администратору сервера. Некоторые системы даже способны автоматически реагировать на попытки вторжения.
Хуже всего то, что в настоящее время неясно, были ли резервные копии данных клиентов на внешнем сервере. Можно предположить, что на взломанном сервере были резервные копии, но, поскольку хакеры полностью взяли под свой контроль сервер Cyberserve, вполне вероятно, что эти резервные копии теперь недоступны. Если бы у компании была резервная копия на внешнем сервере, можно было бы изменить DNS для веб-сайтов и просто перезагрузить их.
Очевидно, что ни одна компания, предоставляющая услуги хостинга веб-сайтов, не может быть на 100% защищена от взлома, но риски можно минимизировать, создав несколько уровней безопасности, как мы делаем в Linux Hosting. Мы также предоставляем услуги внешнего резервного копирования на отдельном сервере, чтобы веб-сайт можно было восстановить даже в случае полного удаления. Для получения дополнительной информации о безопасном и высококачественном веб-хостинге ознакомьтесь с нашими пакетами хостинга (мы также предоставляем хостинг через виртуальный сервер).