Jeden haker usunął dane z prawie połowy wszystkich baz danych MongoDB i pozostawił za nimi notatki z okupem

Według raportu ZDNet, jeśli właściciele około 23 tysięcy baz danych MongoDB spróbują uzyskać dostęp do informacji w nich zawartych, nie znajdą ich. Zamiast tego zobaczą tylko wypełnioną notatkę o okupie, na pierwszy rzut oka kilka poważnych zagrożeń.

Atak został odkryty przez badacza GDI Foundation, Victora Geversa, i początkowo był o wiele mniejszy. Najwyraźniej haker odpowiedzialny za to zaatakował jedną źle skonfigurowaną instalację MongoDB. Wchodziliby i bez dotykania danych zostawili notatkę, twierdząc, że informacje zostały „zarchiwizowane”, i że aby zapobiec wyciekaniu ich na cały świat, właściciel musi zapłacić 0,015 BTC ( około 136 USD) okup. Prawdopodobnie była to faza testowa ataku.

Zautomatyzowany skrypt wyczyścił dane z 47% wszystkich baz danych MongoDB

Victor Gevers powiedział ZDNet, że 30 czerwca ten sam haker uruchomił automatyczny skrypt, który zidentyfikował 23 tysiące podatnych na atak baz danych MongoDB, naraził je i usunął zawarte w nich informacje. Haker zostawił za sobą notatkę o okupie, która zażądała takiego samego okupu w wysokości 0,015 BTC za przywrócenie danych.

Atak nie był specjalnie wyrafinowany, ale jego skala jest zdecydowanie godna uwagi. Według ZDNet 23 tysiące baz danych stanowi aż 47% wszystkich serwerów MongoDB na całym świecie. Na Twitterze kolektyw specjalistów ds. Bezpieczeństwa o nazwie Shadowserver powiedział, że 23 tysiące jest również bardzo zbliżonych do liczby baz danych MongoDB, które są dostępne bez jakiejkolwiek formy uwierzytelnienia.

Jak zauważył ZDNet, przynajmniej niektóre z wymazanych baz danych są częścią środowisk testowych, ale można bezpiecznie założyć, że utracono również sporo danych produkcyjnych, a ich właściciele prawdopodobnie desperacko chcą je odzyskać. Ci, którzy z tego czy innego powodu nie mają wsparcia, mogą ulec pokusie zapłacenia okupu. W końcu, biorąc pod uwagę, jak wiele cennych informacji może być zagrożonych, 136 dolarów nie wydaje się tak wielką sumą, a koszt posłuży jako przypomnienie o tym, jak ważna jest ochrona hasłem. Zanim sięgną po książeczki czekowe, muszą jednak pamiętać, że nie mogą mieć gwarancji, że odzyskają swoje dane. Zasadniczo oszustom nie można ufać i nie możemy zapominać o tym, jak duża może być ilość danych, których dotyczy problem. Haker raczej nie będzie miał kopii tego wszystkiego, więc zanim zapłacą okup, właściciele dotkniętych nim baz danych, którzy nie mają działającej kopii zapasowej, prawdopodobnie powinni pomyśleć dwa razy. Ci, którzy mają kopie zapasowe, stają przed pewnym dylematem.

Atakujący grozi powiadomieniem władz o naruszeniu RODO ofiar

Jeśli wierzyć notatce o okupie, ofiary nie mają dużo czasu na przemyślenia. Atakujący mówi, że jeśli nie zapłacą w ciągu 48 godzin, wszystkie zaatakowane dane zostaną ujawnione światu. To nie jest tak naprawdę wyjątkowo innowacyjna taktyka. Zazwyczaj cyberprzestępcy wykorzystują terminy i groźby, aby skłonić swoje ofiary do zaspokojenia żądań, aw ostatnich miesiącach ostrzeżenie dla ofiar ransomware, że ich dane mogą zostać sprzedane lub wyciekły, było szczególnie popularne.

Jednak atakujący, który wyczyścił połowę światowych baz danych MongoDB, podniósł go na wyższy poziom. Zgodnie z notatką o okupie, jeśli ofiara nie zastosuje się do żądań, osoba atakująca skontaktuje się z organami odpowiedzialnymi za egzekwowanie ogólnego unijnego rozporządzenia o ochronie danych (RODO) i zgłosi nieszczelne bazy danych. Wiele rzeczy może sugerować, że jest to puste zagrożenie.

Po pierwsze, jak już wspomnieliśmy, nie jest jasne, czy haker ma kopię zainfekowanych danych, a nawet jeśli tak, jeśli chcą powiadomić władze, będą musieli przyznać się do popełnienia przestępstwa, co prawdopodobnie nie jest tak chętne do zrobienia. Podsumowując, chociaż powinny ponosić odpowiedzialność za niewłaściwe przetwarzanie danych osobowych, jest mało prawdopodobne, aby ofiary tego ataku były prześladowane przez UE.

Mamy nadzieję, że nauczą się również swojej lekcji, ponieważ incydent jest dość ponurym przypomnieniem, ile informacji osobistych jest przechowywanych nieprawidłowo. To także bardzo realna ilustracja tego, jak poważne mogą być tego konsekwencje.