O que é o Meow Bot e como as senhas fortes podem ajudar a se proteger contra ele?
No início de julho, uma equipe de pesquisadores de segurança liderada por Bob Diachenko descobriu um banco de dados cheio de 1,2 TB de informações pessoais do usuário. Ele continha qualquer coisa, desde e-mails e senhas em texto simples a nomes, endereços físicos, IPs residenciais e links de API do PayPal. O banco de dados era acessível de qualquer lugar do mundo e não era protegido por senha. Após uma breve investigação, os especialistas descobriram que ele pertence ao desenvolvedor de sete aplicativos VPN relacionados. Demorou muito mais do que deveria, mas em 15 de julho, os dados foram finalmente colocados offline.
Menos de uma semana depois, Diachenko percebeu que ela havia aparecido novamente. Desta vez, porém, alguém decidiu que medidas mais drásticas precisam ser tomadas para garantir que o fornecedor dos aplicativos ofensivos tome nota. Disse que alguém opera o Meow Bot.
Meow Bot acessa bancos de dados inseguros em todo o mundo
Os hackers localizaram o banco de dados exposto e sobrescreveram todos os seus registros com sequências alfanuméricas aleatórias. A palavra "miau" foi anexada a cada registro corrompido, o que era um pouco incomum e chamou a atenção dos pesquisadores. Quando usaram um mecanismo de busca especializado chamado Shodan, descobriram que o banco de dados exposto pelos aplicativos VPN estava longe de ser o único afetado pelo mesmo ataque.
O site de notícias de segurança cibernética Bleeping Computer inicialmente encontrou cerca de 1.800 bancos de dados Elasticsearch e MongoDB mal configurados atingidos pelo mesmo hacker, mas em questão de apenas alguns dias, esse número cresceu para quase 4.000. Os ataques foram lançados por um script automatizado que estava escondido atrás de um IP ProtonVPN.
O Miau Bot estava realmente solto e conseguiu chamar a atenção de todos. Esse, aliás, era o objetivo dos hackers.
Meow Bot visa aumentar a conscientização
Os hackers não deixam notas de resgate exigindo uma quantia em dinheiro em troca da restauração dos dados, e não há evidências que sugiram que eles baixem uma cópia antes de substituí-la por jargões e ruídos de gato.
Em face disso, pelo menos, os criadores do Meow Bot não têm nenhum incentivo financeiro ou qualquer outro incentivo para fazer isso. Eles parecem ser entusiastas vigilantes da segurança cibernética que apenas querem mostrar ao mundo como os bancos de dados mal configurados são comuns.
Na verdade, muitas organizações colocam informações corporativas e pessoais confidenciais em bancos de dados Elasticsearch e MongoDB mal protegidos, e a experiência recente de Bob Diachenko com aplicativos VPN com vazamento mostra que, às vezes, informar o fornecedor e mostrar a ele seu erro não necessariamente protegerá os dados.
A corrupção completa do banco de dados provavelmente terá um efeito mais perceptível. Mas isso significa que os operadores do Meow Bot merecem um tapinha nas costas?
As pessoas que executam esses tipos de ataques são freqüentemente chamadas de "hackers de chapéu cinza". Isso porque, embora seu objetivo principal seja melhorar o estado da segurança cibernética de seus alvos, suas ações frequentemente estão do lado errado da lei.
A corrupção de terabytes de dados expostos provavelmente aumentará a conscientização sobre o problema dos bancos de dados mal configurados e, no mínimo, impedirá que os cibercriminosos coloquem as mãos nas informações. Ao mesmo tempo, no entanto, você não pode argumentar que adulterar os dados de outra pessoa é ilegal.
É um grande dilema moral, e as opiniões provavelmente estarão divididas. No final, a única coisa que podemos esperar é que o resultado líquido seja menos bancos de dados mal protegidos.
