Um hacker apagou dados de quase metade de todos os bancos de dados MongoDB e deixou notas de resgate por trás

Segundo um relatório do ZDNet, se os proprietários de cerca de 23 mil bancos de dados do MongoDB tentarem acessar as informações dentro deles, eles não encontrarão. Em vez disso, tudo o que eles vêem é uma nota de resgate preenchida com, pelo menos, algumas ameaças bastante sérias.

O ataque foi descoberto por um pesquisador da Fundação GDI chamado Victor Gevers e, inicialmente, era muito menor. Aparentemente, a princípio, o hacker responsável por ele direcionou uma única instalação do MongoDB mal configurada. Eles entrariam e, sem realmente tocar nos dados, deixariam uma nota, alegando que as informações foram "copiadas" e que, para evitar que elas vazem para todo o mundo, o proprietário precisa pagar 0,015BTC ( cerca de US $ 136) como resgate. Esta foi provavelmente a fase de testes do ataque.

Um script automatizado limpou os dados de 47% de todos os bancos de dados do MongoDB

Victor Gevers disse ao ZDNet que, em 30 de junho, o mesmo hacker lançou um script automatizado que identificou 23 mil bancos de dados vulneráveis do MongoDB, os comprometeu e limpou as informações que continham. O hacker deixou para trás uma nota de resgate que exigia o mesmo resgate de 0,015BTC para restaurar os dados.

O ataque não foi especialmente sofisticado, mas sua escala é definitivamente digna de nota. Segundo o ZDNet, os 23 mil bancos de dados representam 47% de todos os servidores MongoDB em todo o mundo. No Twitter, um coletivo de profissionais de segurança chamado Shadowserver disse que 23 mil também estão muito próximos do número de bancos de dados MongoDB que são acessíveis sem qualquer forma de autenticação.

Como o ZDNet apontou, pelo menos alguns dos bancos de dados apagados fazem parte dos ambientes de teste, mas é seguro assumir que muitos dados de produção também foram perdidos e seus proprietários provavelmente estão desesperados para recuperá-los. Aqueles que, por um motivo ou outro, não têm backup, podem ficar tentados a pagar o resgate. Afinal, considerando a quantidade de informações valiosas em risco, US $ 136 não parece uma quantia tão grande, e a despesa servirá como um lembrete da importância da proteção por senha. Antes de buscarem seus cheques, no entanto, eles precisam ter em mente que eles não podem ter garantias de que receberão seus dados de volta. Em geral, os criminosos não são confiáveis, e não devemos esquecer o tamanho da quantidade de dados afetados. É improvável que o hacker tenha uma cópia de tudo, portanto, antes de pagarem o resgate, os proprietários dos bancos de dados afetados que não possuem um backup ativo provavelmente devem pensar duas vezes. Aqueles que possuem backups também enfrentam um dilema.

O atacante ameaça denunciar as violações das GDPR das vítimas às autoridades

Para acreditar na nota de resgate, as vítimas não têm muito tempo para pensar. O invasor diz que, se não pagar dentro de 48 horas, todos os dados comprometidos serão vazados para o mundo ver. Esta não é realmente uma tática muito inovadora. Geralmente, os cibercriminosos usam prazos e ameaças para fazer com que suas vítimas atendam às demandas e, nos últimos meses, alertou as vítimas de ransomware que seus dados poderiam ser vendidos ou vazados tem sido especialmente popular.

O invasor que limpou metade dos bancos de dados do MongoDB do mundo, no entanto, aumentou um pouco. De acordo com a nota de resgate, se a vítima não cumprir as exigências, o atacante entrará em contato com as autoridades responsáveis pela aplicação do Regulamento Geral de Proteção de Dados da UE (GDPR) e relatará os bancos de dados com vazamentos. Algumas coisas podem sugerir que esta é uma ameaça vazia.

Por um lado, como já mencionamos, não está claro se o hacker possui uma cópia dos dados comprometidos e, mesmo se o fizer, se quiser alertar as autoridades, precisará admitir que cometeu um crime, o que eles provavelmente não estão tão interessados em fazer. Em suma, embora devam ser responsabilizados por lidar mal com os dados das pessoas, é improvável que as vítimas deste ataque sejam perseguidas pela UE.

Felizmente, eles também aprenderão a lição porque o incidente é um lembrete bastante sombrio de quanta informação pessoal é armazenada incorretamente. Também é uma ilustração muito real de quão sérias as consequências disso tudo podem ser.