En hackare raderade data från nästan hälften av alla MongoDB-databaser och anteckningar om vänster lösning bakom

Enligt en rapport från ZDNet, om ägarna till cirka 23 tusen MongoDB-databaser försöker få tillgång till informationen inuti dem, kommer de inte att hitta den. Istället är allt de kommer att se en lösenanteckning fylld med åtminstone några ganska allvarliga hot.

Attacken upptäcktes av en GDI Foundation-forskare som heter Victor Gevers, och till en början var den mycket mindre. Tydligen, till en början, riktade hackaren som är ansvarig för den mot en enda felkonfigurerad MongoDB-installation. De skulle gå in och utan att röra vid uppgifterna, skulle de lämna en anteckning och hävda att informationen har "säkerhetskopierats", och att ägaren måste betala en 0.015BTC (för att förhindra att den läcker till hela världen) ungefär $ 136) lösen. Detta var förmodligen testfasen av attacken.

Ett automatiskt skript raderade data från 47% av alla MongoDB-databaser

Victor Gevers berättade för ZDNet att den 30 juni lanserade samma hackare ett automatiskt skript som identifierade 23 tusen utsatta MongoDB-databaser, komprometterade dem och torkade den information de innehöll. Hackaren lämnade en lösenanmärkning som krävde samma 0,015BTC-lösen för återställning av uppgifterna.

Attacken var inte särskilt sofistikerad, men dess omfattning är definitivt anmärkningsvärd. Enligt ZDNet utgör de 23 tusen databaserna 47 procent av alla MongoDB-servrar runt om i världen. På Twitter sa ett säkerhetspersonalskollektiv som heter Shadowserver att 23 tusen också är ganska nära antalet MongoDB-databaser som är tillgängliga utan någon form av autentisering.

Som ZDNet påpekade är åtminstone några av de torkade databaserna en del av testmiljöer, men det är säkert att anta att en hel del produktionsdata också har gått förlorade, och dess ägare är förmodligen ganska desperata att få tillbaka den. De som av en eller annan anledning inte har en säkerhetskopia kan bli frestade att betala lösen. När allt kommer omkring, med tanke på hur mycket värdefull information som kan stå på spel, verkar $ 136 inte som en så enorm summa, och utgifterna kommer att tjäna som en påminnelse om hur viktigt lösenordsskydd är. Innan de räcker till sina checkböcker måste de dock komma ihåg att de inte kan ha några garantier för att de får tillbaka sina uppgifter. I allmänhet är inte skurkar att lita på, och vi får inte glömma hur enorm mängden påverkade data kan vara. Det är osannolikt att hackaren har en kopia av allt, så innan de betalar lösen, bör ägare av berörda databaser som inte har en fungerande säkerhetskopia förmodligen tänka två gånger. De som har säkerhetskopior står också inför ett lite dilemma.

Angriparen hotar att anmäla offrens GDPR-kränkningar till myndigheterna

Om lösenbrevet ska tro, har offren inte mycket tid att tänka på. Attackeren säger att om de inte betalar inom 48 timmar kommer alla komprometterade data läckas för att världen ska se. Detta är egentligen inte en väldigt innovativ taktik. Vanligtvis använder cyberbrottslingar tidsfrister och hot för att få sina offer att ge efterfrågan, och under de senaste månaderna har varning för ransomware-offer att deras data kan säljas eller läckt varit särskilt populärt.

Angriparen som torkade hälften av världens MongoDB-databaser drev dock upp ett hack. Enligt lösningsmeddelandet, om offeret inte uppfyller kraven, kommer angriparen att kontakta de myndigheter som är ansvariga för att verkställa EU: s allmänna dataskyddsförordning (GDPR) och kommer att rapportera de läckande databaserna. Många saker kan antyda att detta är ett ihåligt hot.

För en, som vi redan nämnde, är det inte klart om hackaren har en kopia av de komprometterade uppgifterna, och även om de gör det, om de vill varna myndigheterna, måste de erkänna att de har begått ett brott, vilket de förmodligen inte är så angelägna om att göra. Sammantaget, även om de borde hållas ansvariga för dåligt hantering av människors data, är det troligt att offren för denna attack förföljs av EU.

Förhoppningsvis kommer de att lära sig sin lektion också eftersom händelsen är en ganska dyster påminnelse om hur mycket personlig information som lagras felaktigt. Det är också en mycket verklig illustration av hur allvarliga konsekvenserna av allt detta kan vara.