Un hacker ha cancellato i dati da quasi la metà di tutti i database MongoDB e le note di riscatto sono rimaste indietro

Secondo un rapporto di ZDNet, se i proprietari di circa 23 mila database MongoDB tentano di accedere alle informazioni al loro interno, non lo troveranno. Invece, vedranno solo una nota di riscatto piena, almeno in parte, di alcune minacce piuttosto serie.

L'attacco è stato scoperto da un ricercatore della GDI Foundation chiamato Victor Gevers e inizialmente era molto più piccolo. Apparentemente, all'inizio, l'hacker responsabile ha preso di mira un'unica installazione MongoDB non configurata correttamente. Entrerebbero e, senza effettivamente toccare i dati, lascerebbero una nota, sostenendo che le informazioni sono state "salvate" e che per impedire che perdano in tutto il mondo, il proprietario deve pagare uno 0,015 BTC ( circa $ 136) riscatto. Questa era probabilmente la fase di test dell'attacco.

Uno script automatizzato ha cancellato i dati dal 47% di tutti i database MongoDB

Victor Gevers ha dichiarato a ZDNet che il 30 giugno lo stesso hacker ha lanciato uno script automatizzato che ha identificato 23 mila database MongoDB vulnerabili, li ha compromessi e ha cancellato le informazioni in essi contenute. L'hacker ha lasciato una nota di riscatto che ha richiesto lo stesso riscatto 0,015 BTC per il ripristino dei dati.

L'attacco non è stato particolarmente sofisticato, ma la sua portata è decisamente degna di nota. Secondo ZDNet, i 23 mila database comprendono un enorme 47% di tutti i server MongoDB in tutto il mondo. Su Twitter, un collettivo di professionisti della sicurezza chiamato Shadowserver ha affermato che 23 mila sono anche abbastanza vicini al numero di database MongoDB che sono accessibili senza alcuna forma di autenticazione.

Come ha sottolineato ZDNet, almeno alcuni dei database cancellati fanno parte degli ambienti di test, ma è lecito ritenere che anche molti dati di produzione siano andati persi e che i suoi proprietari siano probabilmente disperati nel tentativo di recuperarli. Coloro che, per una ragione o per l'altra, non hanno un backup potrebbero essere tentati di pagare il riscatto. Dopotutto, considerando quante informazioni preziose potrebbero essere in gioco, $ 136 non sembra una somma così grande e la spesa servirà a ricordare quanto sia importante la protezione con password. Prima di raggiungere i loro libretti degli assegni, tuttavia, devono tenere presente che non possono avere garanzie di recuperare i propri dati. In generale, i truffatori non devono essere affidabili e non dobbiamo dimenticare l'enorme quantità di dati interessati. È improbabile che l'hacker ne abbia una copia, quindi prima di pagare il riscatto, i proprietari dei database interessati che non hanno un backup funzionante dovrebbero probabilmente pensarci due volte. Coloro che hanno backup hanno anche un po 'di dilemma.

L'attaccante minaccia di denunciare alle autorità le violazioni del GDPR delle vittime

Se si deve credere alla richiesta di riscatto, le vittime non hanno molto tempo per pensare. L'attaccante afferma che se non pagano entro 48 ore, tutti i dati compromessi verranno divulgati al mondo. Questa non è davvero una tattica terribilmente innovativa. Di solito, i criminali informatici utilizzano scadenze e minacce per indurre le loro vittime a soddisfare le richieste e, nel corso degli ultimi mesi, è stato particolarmente popolare avvertire le vittime di ransomware che i loro dati potevano essere venduti o divulgati.

L'attaccante che ha cancellato metà dei database MongoDB del mondo, tuttavia, ha alzato il livello. Secondo la nota di riscatto, se la vittima non ottempera alle richieste, l'aggressore contatterà le autorità responsabili dell'applicazione del regolamento generale sulla protezione dei dati (GDPR) dell'UE e segnalerà le banche dati che perdono. Molte cose potrebbero suggerire che questa è una minaccia vuota.

Per uno, come abbiamo già detto, non è chiaro se l'hacker abbia una copia dei dati compromessi e anche se lo fanno, se vogliono avvisare le autorità, dovranno ammettere di aver commesso un crimine, che probabilmente non sono così entusiasti di fare. Nel complesso, sebbene debbano essere ritenuti responsabili della gestione inadeguata dei dati delle persone, è improbabile che le vittime di questo attacco siano perseguitate dall'UE.

Speriamo che impareranno anche la lezione perché l'incidente è un promemoria piuttosto cupo di quante informazioni personali sono archiviate in modo errato. È anche un'illustrazione molto reale di quanto possano essere gravi le conseguenze di tutto ciò.