Qu'est-ce que le robot Meow et comment les mots de passe forts peuvent-ils vous protéger?
Début juillet, une équipe de chercheurs en sécurité dirigée par Bob Diachenko a découvert une base de données remplie de 1,2 To d'informations personnelles sur les utilisateurs. Il contenait tout, des e-mails et des mots de passe en clair aux noms, adresses physiques, adresses IP personnelles et liens API PayPal. La base de données était accessible de n'importe où dans le monde et n'était pas protégée par un mot de passe. Après une brève enquête, les experts ont découvert qu'il appartenait au développeur de sept applications VPN associées. Cela a pris beaucoup plus de temps que prévu, mais le 15 juillet, les données ont finalement été mises hors ligne.
Moins d'une semaine plus tard, Diachenko a remarqué qu'il était réapparu. Cette fois, cependant, quelqu'un a décidé que des mesures plus drastiques devaient être prises afin de s'assurer que le fournisseur des applications incriminées en avait pris note. Le dit quelqu'un exploite le Meow Bot.
Meow Bot touche les bases de données non sécurisées du monde entier
Les pirates avaient localisé la base de données exposée et avaient écrasé tous ses enregistrements avec des chaînes alphanumériques aléatoires. Le mot «miaou» a été ajouté à chaque enregistrement corrompu, ce qui était un peu inhabituel et a attiré l'attention des chercheurs. Lorsqu'ils ont utilisé un moteur de recherche spécialisé appelé Shodan, ils ont découvert que la base de données exposée par les applications VPN était loin d'être la seule affectée par la même attaque.
Le site Web d'informations sur la cybersécurité Bleeping Computer a initialement trouvé environ 1800 bases de données Elasticsearch et MongoDB mal configurées touchées par le même pirate informatique, mais en quelques jours seulement, ce nombre est passé à près de 4000. Les attaques ont été lancées par un script automatisé qui se cachait derrière une adresse IP ProtonVPN.
Meow Bot était bel et bien en liberté, et il a réussi à attirer l'attention de tout le monde. C'était d'ailleurs l'objectif des hackers.
Meow Bot est tout au sujet de la sensibilisation
Les hackers ne laissent pas de notes de rançon exigeant une somme d'argent en échange de la restauration des données, et rien ne permet de penser qu'ils en téléchargent même une copie avant de la remplacer par des bruits de charabia et de chat.
À première vue, au moins, les créateurs de Meow Bot n'ont aucune incitation financière ou autre à le faire. Ils semblent être des passionnés de cybersécurité qui veulent juste montrer au monde à quel point les bases de données mal configurées sont courantes.
En effet, beaucoup trop d'organisations placent des informations d'entreprise et personnelles sensibles dans des bases de données Elasticsearch et MongoDB mal sécurisées, et l'expérience récente de Bob Diachenko avec les applications VPN qui fuient montre que parfois, informer le fournisseur et lui montrer son erreur ne va pas nécessairement sécuriser les données..
Une corruption complète de la base de données est susceptible d'avoir un effet plus notable. Mais cela signifie-t-il que les opérateurs de Meow Bot méritent une tape dans le dos?
Les personnes qui effectuent ces types d'attaques sont souvent appelées «hackers chapeau gris». En effet, bien que leur objectif principal soit d'améliorer l'état de la cybersécurité de leur cible, leurs actions sont souvent du mauvais côté de la loi.
La corruption de téraoctets de données exposées est susceptible de sensibiliser au problème des bases de données mal configurées et, à tout le moins, elle empêchera les cybercriminels de mettre la main sur les informations. Dans le même temps, cependant, vous ne pouvez pas contester le fait que la falsification des données de quelqu'un d'autre est illégale.
C'est un grand dilemme moral, et les opinions sont susceptibles d'être partagées. Au final, la seule chose que l'on puisse espérer est que le résultat net sera moins de bases de données mal sécurisées.