Een aanvaller heeft ruim 1800 databases op internet gegijzeld en vraagt zo'n 200 euro aan slachtoffers voor het teruggeven van de data. Inmiddels zouden 13 slachtoffers het gevraagde bedrag hebben betaald. De aanvaller heeft het voorzien op onbeveiligde MongoDB-databases.

De inhoud van de database wordt verwijderd en vervangen door een bericht van de aanvaller. Daarin staat dat er 0,2 bitcoin moet worden betaald om de database terug te krijgen. Met de huidige wisselkoers is dat zo'n 200 euro. De Nederlandse beveiligingsonderzoeker Victor Gevers van de GDI.Foundation, een Nederlandse stichting van beveiligingsexperts zonder winstoogmerk, plaatste onlangs een bericht op Twitter dat onbeveiligde MongoDB-databases werden gegijzeld. "Omdat ik dit in de afgelopen jaren naast het bekende vandalisme nog niet was tegengekomen heb ik deze gegevens even gedeeld via Twitter, in de hoop zo ook in contact te kunnen komen met de slachtoffers", laat Gevers tegenover Security.NL weten. "Ondertussen hebben er behoorlijk wat partijen bij ons aangeklopt met een directe hulpvraag om hun databaseserver te beveiligen, wat echt heel simpel is."

Sinds zijn tweet heeft Gevers nog meer meldingen van organisaties binnengekregen die getroffen zijn. "En zie ik het aantal geplunderde databases actief toenemen. Iemand heeft een goed verdienmodel gevonden en is makkelijk aan het verdienen", laat Gevers weten. Uit informatie van Blockchain.info blijkt dat 13 slachtoffers inmiddels de gevraagde 0,2 bitcoin hebben betaald. De getroffen organisaties kregen in dit geval ook hun database terug. Gevers heeft verschillende slachtoffers gratis geholpen met het beveiligen van hun database. "Alleen de server een bind_ip=127.0.0.1 of en mongod --auth restart geven is wat je dan voor die partijen nog kan doen."

Volgens de onderzoeker is het probleem van onbeveiligde MongoDB-servers al geruime tijd bekend en wordt het ook automatisch gemeld. Internetproviders zouden deze berichten echter niet doorzetten, waardoor veel partijen niet worden geïnformeerd totdat het te laat is, aldus Gevers. De onderzoeker liet Security.NL weten dat hij 192 gegijzelde databases had geteld. Niet veel later kwam John Matherly van de zoekmachine Shodan met een update. Hij stelt dat ruim 1800 databases inmiddels zijn gegijzeld. Matherly maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist. Ook Gevers bevestigt de omvang van het probleem. "Op het moment staan er nog veel grote databases open met vaak zeer gevoelige informatie. Het opruimen hiervan gaat nog wel even duren."