Хакер взламывает базы данных MongoDB и требует выкуп с угрозами слить персданные и сообщить в органы защиты GDPR



    В начале июля 2020 года издания BleepingComputer и ZDNet сообщили, что злоумышленник смог получить удаленный доступ к более чем 22 тыс. баз данных MongoDB, часть из которых даже не были защищены паролями.

    Хакер воспользовался этой ситуацией в целях обогащения — он требует выкуп от владельцев баз в размере 0,015 биткойна или их данные будут выложены в открытый доступ. Вдобавок взломщик угрожает, что информация об этом инциденте будет сообщена в соответствующие органы по защите GDPR (General Data Protection Regulation), которые могут выписать штраф владельцу плохо защищенной или даже открытой MongoDB.

    Злоумышленник пользуется автоматизированным скриптом для поиска в сети интернет доступных баз данных MongoDB. С помощью этого скрипта хакер также проводит копирование данных баз на сторонние дисковые ресурсы и стирает все данные в оригинале. Вместо атакованной MongoDB создается новая база данных с именем «READ_ME_TO_RECOVER_YOUR_DATA». Таким образом, если у владельца не было резервной копии базы данных, то у него, как минимум, появлялись проблемы с ее восстановлением.

    Сообщение, которое оставлял скрипт фактически вместо базы данных.
    «Нами была создана резервная копия ваших данных. Вы должны заплатить 0,015 BTC, срок — 48 часов, тогда мы их вам восстановим. По истечении 48 часов мы выложим в открытый доступ все ваши данные. Также в случае отказа от оплаты мы свяжемся с представителями по защите GDPR и уведомим их о том, что вы храните пользовательские данные в открытой форме и без защиты. Согласно текущему законодательству, вам грозит большой штраф или арест, а ваша копия данных будет удалена с нашего сервера! После оплаты напишите мне на почту, указав IP вашей БД.»

    Специалисты по информационной безопасности в курсе этой ситуации, причем они ранее уже предупреждали разработчиков и администраторов баз данных MongoDB о том, что их необходимо правильно настраивать и защищать. Но практика показывает, что за последние годы количество доступных баз данных MongoDB не уменьшилось. Например, сейчас таких ресурсов в сети интернет около 38 тыс., причем часть из них даже без пароля.

    Вдобавок эксперты обнаружили, что часть баз данных MongoDB, которые ранее взломал хакер, вернулись в исходное положение. Это может означать, что их владельцы заплатили выкуп злоумышленнику, но скорее всего они восстановили свои данные из своих резервных копий. Исходя из предварительного анализа, ИБ-эксперты считают, что данные атакованных баз данных MongoDB не были скопированы скриптом хакера на сторонние ресурсы перед их удалением. Так как хранить, анализировать и восстанавливать около 23 тыс. баз данных MongoDB, которые на текущий момент взломал хакер, довольно проблемно.

    Специалисты категорически не советуют вступать в переговоры и поддаваться на угрозы хакеров в этом случае. Так как если заплатить им даже такую небольшую сумму, которую они требуют сначала, то можно далее утонуть в процесс затяжного вымогательства, если злоумышленники поймут, что обнаруженная ими информация ценна для владельца.

    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 12

      +1
      Ещё раз — о важности бэкапов!
      Жаль пострадавших…
        0

        Ага, бедные пользователи. Их данные кто-то просто выложил в интернет, не закрыл паролями, не сделал бекапов, а сейчас этот кто-то будет пытаться обвинять злых хакеров в том, что почему-то эти данные уплыли или удалились. Вот ведь хакеры гады, столько проблем доставляют администраторам и программистам, которые целыми сутками без перерыва работают, чтобы защитить пользователей.

        +1

        0.015 Btc = 10к рублей. Не так много

          +4

          Рассчитывает на чаевые.

            +1
            Зато реальная сумма:)
              +2
              Но и их где то нужно взять, особенно если до этого с ними дела не имел.
              Из СМИ есть впечатление про частое мошенничество при покупке Btc.
            • НЛО прилетело и опубликовало эту надпись здесь
                +2

                "Перданные" звучит лучше.

                  0

                  мою тоже увели, хорошо что было тестовая для разработки

                    0
                    думаю там большинство таких. у меня тоже недавно «взломали» тестовую базу
                      0
                      Вашу? и где эта база была, если не секрет
                        0
                        на хецнере на одной из нод. вместо данных добавили требование перевести биткоины за восстановление, но угроз что-то выложить в открытый доступ и жаловаться, в моём случае вроде бы не было

                        p.s. хецнер кстати регулярно мониторит и шлет алармы, если висит открытая монга

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое