Was ist der Meow-Bot und wie können sichere Passwörter helfen, sich davor zu schützen?
Anfang Juli, ein Team von Sicherheitsexperten unter Leitung von Bob Diachenko entdeckte eine Datenbank voller 1,2 TB von persönlichen Benutzerinformationen. Es enthielt alles von E-Mails und Klartextkennwörtern bis hin zu Namen, physischen Adressen, privaten IP-Adressen und PayPal-API-Links. Die Datenbank war von überall auf der Welt zugänglich und nicht durch ein Passwort geschützt. Nach einer kurzen Untersuchung stellten die Experten fest, dass es sich um den Entwickler von sieben verwandten VPN-Anwendungen handelt. Es dauerte viel länger als es hätte sein sollen, aber am 15. Juli wurden die Daten endgültig offline geschaltet.
Weniger als eine Woche später bemerkte Diachenko, dass es wieder aufgetaucht war. Diesmal entschied jedoch jemand, dass drastischere Maßnahmen ergriffen werden müssen, um sicherzustellen, dass der Anbieter der betreffenden Apps dies zur Kenntnis genommen hat. Der besagte jemand betreibt den Meow Bot.
Meow Bot trifft auf ungesicherte Datenbanken auf der ganzen Welt
Die Hacker hatten die exponierte Datenbank gefunden und alle Datensätze mit zufälligen alphanumerischen Zeichenfolgen überschrieben. Das Wort "Miau" wurde an jede korrupte Aufzeichnung angehängt, was etwas ungewöhnlich war und die Aufmerksamkeit der Forscher auf sich zog. Als sie eine spezialisierte Suchmaschine namens Shodan verwendeten, stellten sie fest, dass die von den VPN-Anwendungen bereitgestellte Datenbank bei weitem nicht die einzige war, die von demselben Angriff betroffen war.
Die Cybersecurity-Nachrichten-Website Bleeping Computer fand zunächst etwa 1.800 falsch konfigurierte Elasticsearch- und MongoDB-Datenbanken, die von demselben Hacker getroffen wurden. Innerhalb weniger Tage stieg diese Zahl jedoch auf fast 4.000. Die Angriffe wurden von einem automatisierten Skript gestartet, das sich hinter einer ProtonVPN-IP versteckte.
Meow Bot war wirklich auf freiem Fuß und es gelang ihm, die Aufmerksamkeit aller auf sich zu ziehen. Dies war übrigens das Ziel der Hacker.
Bei Meow Bot geht es darum, das Bewusstsein zu schärfen
Die Hacker hinterlassen keine Lösegeldscheine, die einen Geldbetrag als Gegenleistung für die Wiederherstellung der Daten verlangen, und es gibt keine Hinweise darauf, dass sie sogar eine Kopie davon herunterladen, bevor sie sie durch Kauderwelsch- und Katzengeräusche ersetzen.
Zumindest auf den ersten Blick haben die Macher von Meow Bot keinen finanziellen oder sonstigen Anreiz dafür. Sie scheinen wachsame Cybersecurity-Enthusiasten zu sein, die der Welt nur zeigen wollen, wie häufig falsch konfigurierte Datenbanken wirklich sind.
In der Tat speichern viel zu viele Unternehmen vertrauliche Unternehmens- und persönliche Informationen in schlecht gesicherten Elasticsearch- und MongoDB-Datenbanken. Die jüngsten Erfahrungen von Bob Diachenko mit den undichten VPN-Apps zeigen, dass es manchmal nicht unbedingt sicher ist, den Anbieter zu informieren und ihm seinen Fehler zu zeigen.
Eine vollständige Beschädigung der Datenbank hat wahrscheinlich spürbarere Auswirkungen. Aber bedeutet das, dass die Betreiber von Meow Bot einen Klaps auf den Rücken verdienen?
Die Leute, die diese Art von Angriffen ausführen, werden oft als "Grey Hat Hacker" bezeichnet. Das liegt daran, dass ihr primäres Ziel darin besteht, den Zustand der Cybersicherheit ihres Ziels zu verbessern, ihre Handlungen jedoch häufig auf der falschen Seite des Gesetzes stehen.
Durch die Beschädigung von Terabyte an exponierten Daten wird wahrscheinlich das Bewusstsein für das Problem schlecht konfigurierter Datenbanken geschärft, und nicht zuletzt wird verhindert, dass Cyberkriminelle die Informationen in die Hände bekommen. Gleichzeitig kann man jedoch nicht damit argumentieren, dass Manipulationen an den Daten anderer Personen illegal sind.
Es ist ein großes moralisches Dilemma, und die Meinungen sind wahrscheinlich geteilt. Am Ende können wir nur hoffen, dass das Nettoergebnis weniger schlecht gesicherte Datenbanken sein wird.