Den uavhengige internettsikkerhetsspesialisten Sanyam Jain oppdaget mer enn 12 tusen MongoDB-databaser som ødela nettkriminelle.
ENAngripere sletter alle notater fra lagringen og foreslår offeret å kontakte dem for gjenoppretting av informasjon. Eksperter kobler angrep med tidligere ukjente Unistellar-band.«Først la jeg merke til angrepene i april 24, da først oppdaget en utslettet MongoDB-database som, i stedet for de enorme mengdene lekkede data jeg var vant til å finne, inneholdt kun følgende merknad: “restaurere ? Kontakt : unisteller@yandex.com", – sa Sanyam Jain.
Unistellars kampanje startet i slutten av april i år og påvirket database med informasjon om 257 millioner indiske borgere som ble funnet i åpen tilgang av sikkerhetsspesialist Bob Diachenko. Forsker oppdaget ubeskyttet lagring som inneholdt personlige identifikasjonsdata, i april 23. Notater inkluderte navn, telefonnummer, e-poster og fysiske adressedetaljer.
Spesialist rapporterte om hans funn i det indiske sentrum av reaksjoner på cybertrusler (CERT-In), derimot, databasen var bare tilgjengelig frem til mai 8, da Unistellar-nettkriminelle ødela den.
Eksperter sier at nettkriminelle bruker automatiserte skript som leter etter ubeskyttede MongoDB-baser og sletter informasjon de inneholder. Malware legger til gratis cellelinjer med forslaget om å skrive på en av e-postene for gjenoppretting.
Analytikere bemerker at angripere oppretter poeng for informasjonsgjenoppretting, selv om det ikke er klart om de lager reservekopier av de ødelagte basene. Å spore oppkjøp er heller ikke mulig ettersom nettkriminelle ikke publiserer antall digitale lommebøker, men bare gir ofre i personlig korrespondanse.
Diachenko oppdaget på Internett om 150GB med data, samlet av Verifikasjoner[.]io markedsføringsbyrå. Drevet av MongoDB basen inneholdt mer enn 800 millioner e-poster, datoer, navnene, telefonnumre og andre data om privatpersoner og organisasjoner. Senere oppdaget andre forskere ytterligere to lager som tilhørte selskapet. Av dette, volumet av kompromitterte data bestod 2 milliarder av poster.
Disse angrepene kan bare skje fordi MongoDB-databasene er eksternt tilgjengelige og tilgangen til dem ikke er riktig sikret. Dette betyr at databaseeierne enkelt kan forhindre slike angrep ved å følge ganske enkle trinn utformet for å sikre databaseforekomstene på riktig måte.
MongoDB gir detaljer om hvordan du sikrer en MongoDB-database ved å implementere riktig autentisering, adgangskontroll, og kryptering, og tilbyr også en sikkerhetssjekkliste som administratorer kan følge.
