Én hacker slettet data fra nesten halvparten av alle MongoDB-databaser og notater om venstre løsepenger bak

I følge en rapport fra ZDNet, hvis eierne av rundt 23 000 MongoDB-databaser prøver å få tilgang til informasjonen i dem, vil de ikke finne den. I stedet er alt de vil se en løsepenge-note fylt med, i møte med det, i det minste noen ganske alvorlige trusler.

Angrepet ble oppdaget av en GDI Foundation-forsker kalt Victor Gevers, og i utgangspunktet var det mye mindre. Tilsynelatende, til å begynne med, rettet hackeren som var ansvarlig for den mot en enkelt feilkonfigurert MongoDB-installasjon. De ville gå inn, og uten å berøre dataene, ville de legge igjen en beskjed og hevdet at informasjonen har blitt "sikkerhetskopiert", og at eieren må betale en 0,015BTC (for å forhindre at den lekker til hele verden) ca $ 136) løsepenger. Dette var sannsynligvis testfasen av angrepet.

Et automatisert skript utslettet dataene fra 47% av alle MongoDB-databaser

Victor Gevers fortalte ZDNet at den 30. juni lanserte den samme hacker et automatisert skript som identifiserte 23 tusen sårbare MongoDB-databaser, kompromitterte dem og utslettet informasjonen de inneholdt. Hackeren etterlot seg et løsepenger som krever samme 0,015BTC løsepenger for gjenoppretting av dataene.

Angrepet var ikke spesielt sofistikert, men omfanget er absolutt bemerkelsesverdig. I følge ZDNet utgjør de 23 000 databasene hele 47% av alle MongoDB-servere rundt om i verden. På Twitter, en sikkerhet fagfolk kollektivt kalt Shadowserver sa at 23 000 er også ganske nær til antall MongoDB databaser som er tilgjengelig uten noen form for godkjenning.

Som ZDNet påpekte, er i det minste noen av de utslettede databasene en del av testmiljøer, men det er trygt å anta at ganske mye produksjonsdata også har gått tapt, og eierne av dem er nok ganske desperate etter å få den tilbake. De som av en eller annen grunn ikke har en sikkerhetskopi, kan bli fristet til å betale løsepenger. Når alt kommer til alt, med tanke på hvor mye verdifull informasjon som kan være på spill, virker $ 136 ikke som en så stor sum, og utgiftene vil tjene som en påminnelse om hvor viktig passordbeskyttelse er. Før de rekker å sjekke bøkene sine, må de imidlertid huske på at de ikke kan ha noen garantier for at de får dataene tilbake. Generelt er ikke kjeltringer å stole på, og vi må ikke glemme hvor stor mengden av berørte data kan være. Det er usannsynlig at hackeren har en kopi av alt av det, så før de betaler løsepenger, bør eiere av berørte databaser som ikke har en sikkerhetskopi, trolig tenke seg om to ganger. De som har sikkerhetskopier, blir også møtt med litt av et dilemma.

Angriperen truer med å rapportere ofrenes GDPR-brudd til myndighetene

Hvis løsepengene skal antas, har ikke ofrene mye tid til å tenke. Angriperen sier at hvis de ikke betaler seg innen 48 timer, vil alle kompromitterte data bli lekket for verden å se. Dette er egentlig ikke en veldig nyskapende taktikk. Vanligvis bruker nettkriminelle frister og trusler for å få ofrene sine til å gi kravene, og i løpet av de siste månedene har advarsler om ransomware om at dataene deres kan bli solgt eller lekket vært spesielt populære.

Angriperen som tørket halve verdens MongoDB-databaser, presset den imidlertid opp et hakk. I følge løsesumnotatet vil angriperen, hvis offeret ikke oppfyller kravene, kontakte myndighetene som er ansvarlige for å håndheve EUs generelle databeskyttelsesforordning (GDPR) og rapportere utette databaser. Ganske mange ting kan tyde på at dette er en hul trussel.

For en, som vi allerede nevnte, er det ikke klart om hackeren har en kopi av de kompromitterte dataene, og selv om de gjør det, hvis de vil varsle myndighetene, må de innrømme at de har begått en forbrytelse, som de sannsynligvis ikke er så opptatt av å gjøre. Alt i alt, selv om de bør holdes ansvarlige for dårlig håndtering av personopplysninger, er det neppe sannsynlig at ofre for dette angrepet blir forfulgt av EU.

Forhåpentligvis lærer de leksjonen sin også fordi hendelsen er en ganske dyster påminnelse om hvor mye personlig informasjon som er lagret feil. Det er også en veldig ekte illustrasjon av hvor alvorlige konsekvensene av alt dette kan være.