¿Con qué frecuencia se piratean los sitios web (y sus bases de datos)? Se piratearon como en las cuentas de usuario robadas, se borraron las tablas y, en definitiva, se hizo daño a la base de datos.
Estoy hablando de sitios web de comercio electrónico y, además, cualquier otra cosa además de las principales instituciones financieras porque siempre escucho sobre esos trucos en las noticias.
Incluso si existiera tal estadística, no tendría sentido porque estos ataques no se producen como resultado de una posibilidad aleatoria.
Sus posibilidades de ser "hackeado" aumentan dramáticamente si:
No protege la aplicación correctamente ( Inyección de SQL es la más obvia y, lamentablemente, todavía es un lugar común vulnerabilidad; otras incluyen contraseñas de texto sin formato, XSS / XSRF y no validar entradas de cadena de formulario / consulta);
No protege el sitio correctamente (por ejemplo, permite listas de directorios, permite el acceso anónimo a FTP, no chrootea el FTP, etc.)
No protege la red correctamente (por ejemplo, ejecuta servicios bajo cuentas con privilegios, no configura las ACL o las reglas de firewall adecuadas, etc.), lo que lo alejaría mucho. Es más fácil para un atacante escanear en busca de vulnerabilidades y encontrar algún medio de elevación de privilegios .
Usted tiene un personal grande y / o con poca capacitación que trabaja en el sistema, lo que aumenta las probabilidades de un azar. la ingeniería social ataca para tener éxito.
Su sitio es de alto tráfico, alto ingreso, alta sensibilidad o, de lo contrario, representa un alto valor para los atacantes, lo que implica una mayor probabilidad de una ingeniería social dirigida o dirigida o un ataque similar (es decir, espionaje).
Si protege su entorno y sus aplicaciones correctamente, tiene muy poco de qué preocuparse, siempre y cuando no pinte un gran letrero de blanco en su espalda. Una vez que llegue a ese tamaño, debería contratar a un consultor de seguridad de TI a tiempo completo que se asegurará de que las probabilidades de que usted sea "pirateado" sea muy cercano a cero, y / o que las implicaciones comerciales reales de tal evento sean mínimo.
¿Con qué frecuencia se piratean los sitios web (y sus bases de datos)?
En general, es desconocido, y potencialmente incognoscible.
Muchos países no tienen leyes sobre delitos informáticos [1]. En los Estados Unidos las leyes varían de estado a estado. 48 estados han aprobado leyes contra delitos informáticos. [2] Incluso en lugares que tienen leyes contra delitos informáticos, las víctimas no suelen denunciarlo.
Hace poco pregunté sobre Recursos para obtener información sobre incidentes de seguridad para hacer algunas investigaciones sobre el tema. Algunos contribuyentes de bases de datos envían sus datos bajo condición de anonimato.
Es posible encontrar estadísticas sobre ciertas clases de sitios web que están legalmente obligadas a informar sobre la exposición de información personal. Sin embargo, incluso entre aquellos que están legalmente obligados a informar, algunos pueden desconocer la ley y otros pueden optar por no informar de todos modos.
cualquier cosa además de las principales instituciones financieras porque siempre escucho sobre esos trucos en las noticias.
Bueno, oye hablar de los sensacionales de todos modos. Estoy seguro de que hay muchos incidentes en las principales instituciones financieras que no reciben cobertura mediática significativa. Al parecer, Bélgica, Francia y los Países Bajos no tienen requisitos legales de información. [3] Por lo tanto, teóricamente, una brecha importante podría haber ocurrido en una de las principales instituciones financieras de esos países y es posible que nunca nos enteremos.
[1] Fundamentos de la seguridad de la red, Eric Maiwald
[2] Las leyes como herramientas para la seguridad informática
[3] Encuesta de notificación de violación de seguridad internacional
Esta pregunta merece más atención que lo que se le ha dado. El OP, quizás sin saberlo, ha identificado el talón de Aquiles de la seguridad de la información, es decir, la determinación precisa de la probabilidad de que se realice una amenaza.
Por supuesto, sería imposible responder a la pregunta sin calificar primero a la parte que pregunta, pero esta pregunta subyace, o al menos debería subyacer, cada decisión de seguridad tomada. La respuesta a esta pregunta no debe ser retorcida y un silencio incómodo. Deberíamos poder responder a estos tipos de preguntas sin dudarlo.
En conjunto, como "industria", hemos fracasado estrepitosamente en proporcionar a nuestros clientes estos datos vitales. Peor aún: hemos permitido que sea importante ser eclipsado por el miedo, la incertidumbre, la duda y las tácticas de marketing inteligentes.
Como cualquier otra industria madura, deberíamos contar con el respaldo de datos que se hayan analizado, interpretado, refinado, modelado y sistematizado. Afortunadamente, hay algunas iniciativas que intentan recopilar datos, pero la recopilación es solo una parte de la solución. El verdadero problema radica en interpretar los datos y comprender las relaciones entre conjuntos de datos.
A menos que decidamos reconocer que este es un problema, hay pocas esperanzas de que la "industria" de la seguridad llegue a la edad adulta y, en cambio, nos quedemos atrapados en este terreno desolado de mentiras y engaños.
TLDR; Desafortunadamente, no podemos proporcionarle una respuesta precisa debido a la falta de datos de respaldo. Sin embargo, lo que podemos hacer es agitar nuestra mano en una dirección indefinida, lo que sugiere que es probable que ocurra un ataque donde hay frutos de baja altura. Hay muchos tipos de atacantes con diversas motivaciones, capacidades y recursos.
Si eres víctima de un ataque dirigido, es poco probable que tengas suficiente protección, solo trátalo. Sin embargo, si su atacante es de un tipo más "oportunista" y ha fallado en cortar su fruto de poca monta, es ... probable que lo encuentre, y haga lo que sea que él decida hacer. / p>
Para tener una idea de este tipo de cosas, es posible que desee suscribirse al resumen de RIESGOS , que discute ... incidentes de seguridad interesantes. Sin embargo, notará que el hilo general entre ellos es que varían enormemente, lo que hace que las estadísticas significativas sean muy difíciles de separar del ruido. Además, muchas personas que descubren incidentes de seguridad optan por no revelarlo, y en algunas jurisdicciones, incluso puede ser ilegal revelar algunos tipos de incidentes de seguridad.
Las posibilidades son lo suficientemente altas como para disminuir activamente la posibilidad de una violación de la seguridad.
Si puede suceder, debes planearlo como si sucediera. De esa manera, cuando lo haga, nadie te mirará preguntándote por qué no te defendiste de él.
Lea otras preguntas en las etiquetas attacks disclosure intrusion