Un pirata informático eliminó datos de casi la mitad de todas las bases de datos MongoDB y dejó notas de rescate detrás

Según un informe de ZDNet, si los propietarios de alrededor de 23 mil bases de datos MongoDB intentan acceder a la información que contienen, no la encontrarán. En cambio, todo lo que verán es una nota de rescate llena, al parecer, de al menos algunas amenazas bastante serias.

El ataque fue descubierto por un investigador de la Fundación GDI llamado Victor Gevers, e inicialmente fue mucho más pequeño. Aparentemente, al principio, el hacker responsable de esto apuntó a una sola instalación de MongoDB mal configurada. Entrarían y, sin tocar realmente los datos, dejarían una nota, alegando que la información ha sido "respaldada", y que para evitar que se filtre a todo el mundo, el propietario debe pagar 0.015 BTC ( alrededor de $ 136) de rescate. Esta fue probablemente la fase de prueba del ataque.

Un script automatizado borró los datos del 47% de todas las bases de datos MongoDB

Victor Gevers le dijo a ZDNet que el 30 de junio, el mismo hacker lanzó un script automatizado que identificó 23 mil bases de datos vulnerables de MongoDB, las comprometió y borró la información que contenían. El pirata informático dejó una nota de rescate detrás que exigía el mismo rescate de 0.015 BTC por la restauración de los datos.

El ataque no fue especialmente sofisticado, pero su escala es definitivamente notable. Según ZDNet, las 23 mil bases de datos comprenden un enorme 47% de todos los servidores MongoDB en todo el mundo. En Twitter, un colectivo de profesionales de la seguridad llamado Shadowserver dijo que 23 mil también están bastante cerca de la cantidad de bases de datos MongoDB a las que se puede acceder sin ninguna forma de autenticación.

Como señaló ZDNet, al menos algunas de las bases de datos borradas son parte de entornos de prueba, pero es seguro asumir que también se han perdido una gran cantidad de datos de producción, y sus propietarios probablemente estén bastante desesperados por recuperarlos. Aquellos que, por una razón u otra, no tienen una copia de seguridad pueden verse tentados a pagar el rescate. Después de todo, considerando cuánta información valiosa podría estar en juego, $ 136 no parece una suma tan grande, y el gasto servirá como un recordatorio de lo importante que es la protección con contraseña. Sin embargo, antes de alcanzar sus talonarios de cheques, deben tener en cuenta que no pueden tener garantías de que recuperarán sus datos. En general, no se debe confiar en los delincuentes, y no debemos olvidar cuán grande podría ser la cantidad de datos afectados. Es poco probable que el pirata informático tenga una copia de todo, por lo que antes de pagar el rescate, los propietarios de bases de datos afectadas que no tienen una copia de seguridad operativa probablemente deberían pensarlo dos veces. Los que tienen copias de seguridad también se enfrentan a un pequeño dilema.

El atacante amenaza con denunciar las violaciones del GDPR de las víctimas a las autoridades.

Si hay que creer en la nota de rescate, las víctimas no tienen mucho tiempo para pensar. El atacante dice que si no pagan dentro de las 48 horas, todos los datos comprometidos se filtrarán para que el mundo los vea. Esta no es realmente una táctica terriblemente innovadora. Por lo general, los delincuentes cibernéticos utilizan plazos y amenazas para lograr que sus víctimas rindan las demandas, y en los últimos meses, advertir a las víctimas de ransomware que sus datos podrían venderse o filtrarse ha sido especialmente popular.

Sin embargo, el atacante que borró la mitad de las bases de datos MongoDB del mundo, lo llevó a un nivel superior. Según la nota de rescate, si la víctima no cumple con las demandas, el atacante se pondrá en contacto con las autoridades responsables de hacer cumplir el Reglamento General de Protección de Datos (GDPR) de la UE e informará las bases de datos con fugas. Muchas cosas podrían sugerir que esta es una amenaza hueca.

Por un lado, como ya mencionamos, no está claro si el pirata informático tiene una copia de los datos comprometidos, e incluso si lo tienen, si quieren alertar a las autoridades, deberán admitir que han cometido un delito, que probablemente no estén tan interesados en hacer. En general, aunque deberían ser considerados responsables del mal manejo de los datos de las personas, es poco probable que la UE persiga a las víctimas de este ataque.

Con suerte, aprenderán su lección también porque el incidente es un recordatorio bastante sombrío de la cantidad de información personal almacenada incorrectamente. También es una ilustración muy real de la gravedad de las consecuencias de todo esto.