Hvad er Meow Bot, og hvordan kan stærke adgangskoder hjælpe med at beskytte dig mod den?

I begyndelsen af juli opdagede et team af sikkerhedsforskere ledet af Bob Diachenko en database fuld af 1,2 TB personlige brugeroplysninger. Det indeholdt alt fra e-mails og almindelige adgangskoder til navne, fysiske adresser, hjemme-IP'er og PayPal API-links. Databasen var tilgængelig overalt i verden og var ikke beskyttet af en adgangskode. Efter en kort undersøgelse opdagede eksperterne, at den hører til udvikleren af syv relaterede VPN-applikationer. Det tog meget længere tid, end det skulle have været, men den 15. juli blev dataene endelig taget offline.

Mindre end en uge senere bemærkede Diachenko, at det var dukket op igen. Denne gang besluttede imidlertid nogen, at der skal træffes mere drastiske foranstaltninger for at sikre, at sælgeren af de fornærmende apps har noteret sig. Den nævnte nogen betjener Meow Bot.

Meow Bot rammer usikrede databaser over hele verden

Hackerne havde fundet den eksponerede database og overskrevet alle dens poster med tilfældige alfanumeriske strenge. Ordet "meow" blev føjet til hver eneste korrupte post, hvilket var lidt usædvanligt og fangede forskernes opmærksomhed. Da de brugte en specialiseret søgemaskine kaldet Shodan, opdagede de, at databasen, der blev eksponeret af VPN-applikationerne, langt fra var den eneste, der var berørt af det samme angreb.

Cybersecurity nyhedswebsted Bleeping Computer fandt oprindeligt ca. 1.800 fejlagtige Elasticsearch- og MongoDB-databaser, der blev ramt af den samme hacker, men i løbet af få dage voksede dette antal til næsten 4.000. Angrebet blev lanceret af et automatiseret script, der gemte sig bag en ProtonVPN IP.

Meow Bot var godt og virkelig løs, og det formåede at fange alles opmærksomhed. Dette var forresten hackernes mål.

Meow Bot handler om at skabe opmærksomhed

Hackerne efterlader ikke løsepenge, der kræver en sum penge i bytte for at gendanne dataene, og der er ikke noget, der tyder på, at de endda henter en kopi af dem, inden de erstattes med gibberish og kat lyde.

I lyset af det har i det mindste Meow Bot's skabere intet økonomisk eller andet incitament til at gøre dette. De ser ud til at være årvågne cybersecurity-entusiaster, der bare ønsker at vise verden, hvor almindelige fejlagtige databaser virkelig er.

Faktisk lægger alt for mange organisationer følsomme virksomheds- og personoplysninger i dårligt sikrede Elasticsearch- og MongoDB-databaser, og Bob Diachenko's nylige erfaring med de utæt VPN-apps viser, at undertiden informerer sælgeren og viser dem deres fejl ikke nødvendigvis vil sikre dataene.

Fuldstændig korruption af databasen vil sandsynligvis have en mere mærkbar effekt. Men betyder det, at Meow Bot's operatører fortjener en klap på bagsiden?

De mennesker, der udfører disse typer angreb, kaldes ofte for "grå hathacker." Det skyldes, at selv om deres primære mål er at forbedre tilstanden for deres måls cybersikkerhed, er deres handlinger ofte på den forkerte side af loven.

Korruption af terabyte af eksponerede data øger sandsynligvis en vis opmærksomhed omkring problemet med dårligt konfigurerede databaser, og hvis ikke andet, vil det forhindre cyberkriminelle i at få hånden på informationen. På samme tid kan du imidlertid ikke argumentere med det faktum, at det er ulovligt at manipulere med en andens data.

Det er et stort moralsk dilemma, og meninger er sandsynligvis delte. I sidste ende er det eneste, vi kan håbe på, at nettoresultatet bliver færre dårligt sikrede databaser.