En hacker udryddede data fra næsten halvdelen af alle MongoDB-databaser og venstre løsemiddelnoter bag
Ifølge en rapport fra ZDNet, hvis ejere af omkring 23 tusind MongoDB-databaser forsøger at få adgang til oplysningerne inde i dem, vil de ikke finde dem. I stedet er alt, hvad de vil se, en løsepenge, der er fyldt med i det mindste nogle temmelig alvorlige trusler.
Angrebet blev opdaget af en GDI Foundation-forsker ved navn Victor Gevers, og oprindeligt var det meget mindre. Tilsyneladende, til at begynde med, målrettede hackeren, der var ansvarlig for det, mod en enkelt miskonfigureret MongoDB-installation. De ville gå ind, og uden rent faktisk at røre ved dataene, ville de efterlade en note og hævde, at oplysningerne er blevet "sikkerhedskopieret", og at for at forhindre, at de lækker til hele verden, skal ejeren betale en 0.015BTC ( omkring $ 136) løsepenge. Dette var sandsynligvis testfasen af angrebet.
Et automatiseret script udslettede dataene fra 47% af alle MongoDB-databaser
Victor Gevers fortalte ZDNet, at den 30. juni lancerede den samme hacker et automatiseret script, der identificerede 23 tusind sårbare MongoDB-databaser, kompromitterede dem og udtørrede de oplysninger, de indeholdt. Hackeren efterlod en løsepenge, der krævede den samme 0.015BTC løsepenge for gendannelse af dataene.
Angrebet var ikke særlig sofistikeret, men dets størrelse er bestemt bemærkelsesværdig. Ifølge ZDNet udgør de 23 tusind databaser hele 47% af alle MongoDB-servere i hele verden. På Twitter sagde et kollektivt sikkerhedsfolk, Shadowserver , at 23 tusind også er temmelig tæt på antallet af MongoDB-databaser, der er tilgængelige uden nogen form for godkendelse.
Som ZDNet påpegede, er i det mindste nogle af de udslettede databaser en del af testmiljøer, men det er sikkert at antage, at en hel del produktionsdata også er gået tabt, og dens ejere er sandsynligvis temmelig desperate efter at få dem tilbage. De, der af en eller anden grund ikke har en sikkerhedskopi, kan blive fristet til at betale løsepenge. Når alt kommer til alt, i betragtning af hvor meget værdifuld information der kan være på spil, virker $ 136 ikke som en sådan enorm sum, og udgiften vil tjene som en påmindelse om, hvor vigtig adgangskodebeskyttelse er. Før de tager hen til deres checkbøger, skal de dog huske på, at de ikke kan have nogen garantier for, at de får deres data tilbage. Generelt skal skurke ikke have tillid til, og vi må ikke glemme, hvor enorm mængden af berørte data kan være. Det er usandsynligt, at hackeren har en kopi af det hele, så før de betaler løsepenge, bør ejere af berørte databaser, der ikke har en fungerende backup, sandsynligvis tænke to gange. De, der har sikkerhedskopier, står også over for lidt af et dilemma.
Angriberen truer med at rapportere ofrenes GDPR-krænkelser til myndighederne
Hvis løsepenge skal troes, har ofrene ikke meget tid til at tænke. Angriberen siger, at hvis de ikke betaler inden for 48 timer, vil alle de kompromitterede data lækkes for verden at se. Dette er ikke rigtig en frygtelig innovativ taktik. Normalt bruger cyberkriminelle frister og trusler for at få deres ofre til at give kravene, og i de sidste par måneder har advarsler om ransomware-ofre om, at deres data kunne sælges eller lækket, været særlig populære.
Angriberen, der udslettede halvdelen af verdens MongoDB-databaser, skubbede den imidlertid op ad et hak. I henhold til løsepunktsmeddelelsen, hvis offeret ikke overholder kravene, vil angriberen kontakte myndighederne, der er ansvarlige for håndhævelse af EU's almindelige databeskyttelsesforordning (GDPR) og vil rapportere de utæt databaser. Mange ting antyder muligvis, at dette er en hul trussel.
For en, som vi allerede har nævnt, er det ikke klart, om hackeren har en kopi af de kompromitterede data, og selvom de gør det, hvis de vil advare myndighederne, bliver de nødt til at indrømme, at de har begået en forbrydelse, som de sandsynligvis ikke er så ivrige efter at gøre. Alt i alt, selv om de skulle holdes ansvarlige for dårlig håndtering af folks data, er det usandsynligt, at ofre for dette angreb vil blive forfulgt af EU.
Forhåbentlig lærer de også deres lektion, fordi hændelsen er en temmelig dyre påmindelse om, hvor meget personlige oplysninger, der er gemt forkert. Det er også en meget reel illustration af, hvor alvorlige konsekvenserne af alt dette kan være.
