Co to jest Meow Bot i jak silne hasła mogą pomóc się przed nim chronić?

Meow Bot

Na początku lipca zespół badaczy bezpieczeństwa pod kierownictwem Boba Diachenko odkrył bazę danych zawierającą 1,2 TB danych osobowych użytkowników. Zawierał wszystko, od e-maili i haseł w postaci zwykłego tekstu po nazwy, adresy fizyczne, domowe adresy IP i łącza API PayPal. Baza danych była dostępna z dowolnego miejsca na świecie i nie była chroniona hasłem. Po krótkim dochodzeniu eksperci odkryli, że należy on do twórcy siedmiu powiązanych aplikacji VPN. Zajęło to dużo więcej czasu, niż powinno, ale 15 lipca dane zostały ostatecznie odłączone.

Niecały tydzień później Diachenko zauważył, że pojawił się ponownie. Tym razem jednak ktoś zdecydował, że należy podjąć bardziej drastyczne środki, aby upewnić się, że dostawca aplikacji, które naruszają zasady, zwrócił na to uwagę. Wspomniany ktoś obsługuje Meow Bot.

Meow Bot trafia do niezabezpieczonych baz danych na całym świecie

Hakerzy zlokalizowali ujawnioną bazę danych i nadpisali wszystkie jej rekordy losowymi ciągami alfanumerycznymi. Do każdego zepsutego zapisu dołączane było słowo „miau”, co było nieco niezwykłe i przykuło uwagę badaczy. Kiedy korzystali ze specjalistycznej wyszukiwarki o nazwie Shodan, odkryli, że baza danych ujawniona przez aplikacje VPN nie była jedyną, której dotknął ten sam atak.

Witryna internetowa z wiadomościami o cyberbezpieczeństwie Bleeping Computer początkowo wykryła około 1800 źle skonfigurowanych baz danych Elasticsearch i MongoDB, które zostały zaatakowane przez tego samego hakera, ale w ciągu zaledwie kilku dni liczba ta wzrosła do prawie 4000. Ataki zostały uruchomione przez automatyczny skrypt, który ukrywał się za adresem IP ProtonVPN.

Meow Bot był naprawdę na wolności i udało mu się przyciągnąć uwagę wszystkich. Tak przy okazji, był to cel hakerów.

Meow Bot polega na podnoszeniu świadomości

Hakerzy nie zostawiają notatek okupu, żądając kwoty pieniędzy w zamian za przywrócenie danych i nie ma dowodów na to, że pobierają nawet ich kopię, zanim zastąpią ją bełkotem i odgłosami kota.

Pozornie przynajmniej twórcy Meow Bot nie mają żadnej finansowej ani żadnej innej zachęty, aby to zrobić. Wydają się być czujnymi entuzjastami cyberbezpieczeństwa, którzy po prostu chcą pokazać światu, jak powszechne są błędnie skonfigurowane bazy danych.

Rzeczywiście, zbyt wiele organizacji umieszcza poufne informacje korporacyjne i osobiste w słabo zabezpieczonych bazach danych Elasticsearch i MongoDB, a ostatnie doświadczenia Boba Diachenko z nieszczelnymi aplikacjami VPN pokazują, że czasami poinformowanie dostawcy i pokazanie mu jego błędu niekoniecznie zabezpiecza dane.

Całkowite uszkodzenie bazy danych może mieć bardziej zauważalny efekt. Ale czy to oznacza, że operatorzy Miau Bota zasługują na poklepanie po plecach?

Osoby, które wykonują tego typu ataki, są często określane jako „hakerzy z szarymi kapeluszami”. Dzieje się tak, ponieważ chociaż ich głównym celem jest poprawa stanu cyberbezpieczeństwa celu, jego działania często są po złej stronie prawa.

Uszkadzanie terabajtów ujawnionych danych prawdopodobnie podniesie świadomość problemu źle skonfigurowanych baz danych i co więcej, uniemożliwi cyberprzestępcom zdobycie informacji. Jednocześnie jednak nie można polemizować z faktem, że fałszowanie cudzych danych jest nielegalne.

To duży dylemat moralny, a opinie mogą być podzielone. Ostatecznie jedyną rzeczą, na którą możemy liczyć, jest to, że wynikiem netto będzie mniej słabo zabezpieczonych baz danych.

August 10, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.