Aanvallers hebben het Database-as-a-Service- (DBaaS) platform MongoHQ gehackt door een wachtwoord te gebruiken dat een werknemer ook voor een privéaccount ergens anders gebruikte, dat eindelijk werd gecompromitteerd, zo laat het bedrijf in een verklaring weten.

MongHQ is een platform waar organisaties en bedrijven hun MongoDB-installatie kunnen hosten. MongoDB is een opensource document-georiënteerde database. Met het gestolen wachtwoord konden de aanvallers inloggen op een interne supportapplicatie voor suppertmedewerkers. Via deze applicatie hadden de aanvallers toegang tot de accountgegevens van klanten, waaronder een lijst met databases, e-mailadressen en inloggegevens die met het bcrypt-algoritme gehasht waren.

Daarnaast maakt de applicatie het mogelijk voor MongoHQ-werknemers om als een klant ingelogd te zijn, om zo problemen op te lossen. De aanvallers maakten misbruik van deze feature om de accounts van een klein aantal klanten te benaderen. Verder onderzoek wees uit dat de aanvallers ook toegang tot de databases van verschillende klanten hebben gehad.

De aanvallers gebruikten de hack van MongoHQ om Buffer aan te vallen. Dit is software om sociale netwerken mee te beheren. Doordat de aanvallers via MongHQ toegang tot de Buffer-database hadden, konden ze Buffergebruikers allerlei spamberichten op hun Facebook- en Twitteraccounts laten plaatsen.

Maatregelen

Nadat MongoHQ op 28 oktober de inbraak ontdekte werd de interne applicatie meteen uitgeschakeld. Om herhaling te voorkomen is twee-factor authenticatie ingeschakeld en zijn de applicaties alleen nog via een VPN te benaderen. Daarnaast is er een systeem geïmplementeerd waarbij supportmedewerkers alleen de minimaal vereiste privileges hebben en wordt er een audit van de werkomgeving uitgevoerd. Ook zijn alle getroffen klanten inmiddels ingelicht.