Ένας χάκερ διέγραψε δεδομένα από σχεδόν τις μισές από όλες τις βάσεις δεδομένων MongoDB και τις σημειώσεις του αριστερού εκτελέσματος

Σύμφωνα με μια αναφορά από το ZDNet, εάν οι ιδιοκτήτες περίπου 23 χιλιάδων βάσεων δεδομένων MongoDB προσπαθούν να αποκτήσουν πρόσβαση στις πληροφορίες μέσα τους, δεν θα τις βρουν. Αντ 'αυτού, το μόνο που θα δουν είναι μια σημείωση λύτρων γεμάτη, τουλάχιστον, μερικές σοβαρές απειλές.

Η επίθεση ανακαλύφθηκε από έναν ερευνητή του Ιδρύματος GDI που ονομάζεται Victor Gevers και αρχικά ήταν πολύ μικρότερο. Προφανώς, στην αρχή, ο χάκερ που ήταν υπεύθυνος για αυτό στόχευσε μια ενιαία εσφαλμένη διαμόρφωση της εγκατάστασης MongoDB. Θα μπήκαν και, χωρίς να αγγίξουν πραγματικά τα δεδομένα, θα αφήσουν ένα σημείωμα, ισχυριζόμενοι ότι οι πληροφορίες έχουν "δημιουργηθεί αντίγραφα ασφαλείας", και ότι για να αποφευχθεί η διαρροή σε ολόκληρο τον κόσμο, ο ιδιοκτήτης πρέπει να πληρώσει 0,015BTC ( περίπου 136 $) λύτρα. Αυτή ήταν πιθανότατα η δοκιμαστική φάση της επίθεσης.

Ένα αυτοματοποιημένο σενάριο σκουπίζει τα δεδομένα από το 47% όλων των βάσεων δεδομένων MongoDB

Ο Victor Gevers είπε στο ZDNet ότι στις 30 Ιουνίου, ο ίδιος χάκερ ξεκίνησε ένα αυτοματοποιημένο σενάριο που αναγνώρισε 23 χιλιάδες ευάλωτες βάσεις δεδομένων MongoDB, τους έθεσε σε κίνδυνο και σκούπισε τις πληροφορίες που περιείχαν. Ο χάκερ άφησε πίσω ένα σημείωμα λύτρων που απαιτούσε το ίδιο λύτρο 0,015BTC για την αποκατάσταση των δεδομένων.

Η επίθεση δεν ήταν ιδιαίτερα εξελιγμένη, αλλά η κλίμακα της είναι σίγουρα αξιοσημείωτη. Σύμφωνα με το ZDNet, οι 23 χιλιάδες βάσεις δεδομένων αποτελούν το επιβλητικό 47% όλων των διακομιστών MongoDB σε όλο τον κόσμο. Στο Twitter, μια ομάδα επαγγελματιών ασφαλείας που ονομάζεται Shadowserver είπε ότι 23 χιλιάδες είναι επίσης πολύ κοντά στον αριθμό των βάσεων δεδομένων MongoDB που είναι προσβάσιμες χωρίς καμία μορφή ελέγχου ταυτότητας.

Όπως επεσήμανε το ZDNet, τουλάχιστον μερικές από τις σκουπισμένες βάσεις δεδομένων αποτελούν μέρος δοκιμαστικών περιβαλλόντων, αλλά είναι ασφαλές να υποθέσουμε ότι έχουν χαθεί αρκετά δεδομένα παραγωγής και ότι οι ιδιοκτήτες του είναι πιθανώς αρκετά απελπισμένοι να τα πάρουν πίσω. Όσοι, για έναν ή τον άλλο λόγο, δεν έχουν αντίγραφο ασφαλείας μπορεί να μπουν στον πειρασμό να πληρώσουν τα λύτρα. Εξάλλου, λαμβάνοντας υπόψη πόσες πολύτιμες πληροφορίες μπορεί να διακυβεύονται, τα 136 $ δεν μοιάζουν με ένα τόσο μεγάλο ποσό και το κόστος θα χρησιμεύσει ως υπενθύμιση του πόσο σημαντική είναι η προστασία με κωδικό πρόσβασης. Πριν φτάσουν για τα βιβλία επιταγών τους, ωστόσο, πρέπει να λάβουν υπόψη ότι δεν μπορούν να έχουν καμία εγγύηση ότι θα λάβουν τα δεδομένα τους πίσω. Σε γενικές γραμμές, οι απατεώνες δεν πρέπει να εμπιστεύονται και δεν πρέπει να ξεχνάμε πόσο τεράστιος είναι ο αριθμός των επηρεαζόμενων δεδομένων. Ο χάκερ είναι απίθανο να έχει αντίγραφο όλων αυτών, οπότε πριν πληρώσουν τα λύτρα, οι ιδιοκτήτες των επηρεαζόμενων βάσεων δεδομένων που δεν διαθέτουν εφεδρικό αντίγραφο εργασίας πιθανότατα θα πρέπει να σκεφτούν δύο φορές. Εκείνοι που έχουν αντίγραφα ασφαλείας αντιμετωπίζουν επίσης ένα δίλημμα.

Ο επιτιθέμενος απειλεί να αναφέρει τις παραβιάσεις των θυμάτων GDPR στις αρχές

Αν πρέπει να πιστέψουμε τα λύτρα, τα θύματα δεν έχουν πολύ χρόνο να σκεφτούν. Ο επιτιθέμενος λέει ότι εάν δεν πληρώσουν εντός 48 ωρών, θα διαρρεύσουν όλα τα παραβιασμένα δεδομένα για να δουν ο κόσμος. Αυτή δεν είναι πραγματικά μια εξαιρετικά καινοτόμο τακτική. Συνήθως, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν προθεσμίες και απειλές για να κάνουν τα θύματά τους να ανταποκριθούν στις απαιτήσεις και τους τελευταίους μήνες, προειδοποιώντας τα θύματα ransomware ότι τα δεδομένα τους θα μπορούσαν να πουληθούν ή να διαρρεύσουν ήταν ιδιαίτερα δημοφιλές.

Ο επιτιθέμενος που σκουπίζει τις μισές βάσεις δεδομένων του MongoDB στον κόσμο, ωστόσο, το έσπρωξε. Σύμφωνα με το σημείωμα λύτρων, εάν το θύμα δεν συμμορφωθεί με τις απαιτήσεις, ο εισβολέας θα επικοινωνήσει με τις αρχές που είναι αρμόδιες για την επιβολή του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ (GDPR) και θα αναφέρει τις διαρροές βάσεις δεδομένων. Αρκετά πράγματα μπορεί να υποδηλώνουν ότι αυτή είναι μια κοίλη απειλή.

Πρώτον, όπως αναφέραμε ήδη, δεν είναι σαφές εάν ο εισβολέας έχει ένα αντίγραφο των παραβιασμένων δεδομένων, και ακόμη και αν το κάνουν, εάν θέλουν να ειδοποιήσουν τις αρχές, θα πρέπει να παραδεχτούν ότι έχουν διαπράξει έγκλημα, που πιθανότατα δεν είναι τόσο πρόθυμοι να κάνουν. Συνολικά, παρόλο που πρέπει να θεωρηθούν υπεύθυνοι για την κακή διαχείριση των δεδομένων των ανθρώπων, τα θύματα αυτής της επίθεσης είναι απίθανο να διωχθούν από την ΕΕ.

Ας ελπίσουμε ότι θα μάθουν επίσης το μάθημά τους, διότι το περιστατικό είναι μια πολύ ζοφερή υπενθύμιση για το πόσα προσωπικά στοιχεία αποθηκεύονται λανθασμένα. Είναι επίσης μια πολύ πραγματική εικόνα του πόσο σοβαρές θα μπορούσαν να είναι οι συνέπειες όλων αυτών.