Aanvaller gijzelt database met gegevens 200.000 patiënten
Een aanvaller die onbeveiligde MongoDB-databases gijzelt heeft inmiddels 8500 slachtoffers gemaakt, waaronder een Amerikaanse kliniek waar de gegevens van 200.000 patiënten werden gekaapt. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt.
Veel van deze databases zijn zonder wachtwoord benaderbaar en een aanvaller genaamd "Harak1r1" maakt hier gebruik van. De aanvaller vervangt de inhoud van de database door een bericht dat er 0,2 bitcoin moet worden betaald om de gegevens terug te krijgen. Met de huidige wisselkoers is dat 175 euro. Eén van de getroffen organisaties is het Brain Health Center van Emory Healthcare in de Verenigde Staten.
De aanvaller wist daar een database met de gegevens van meer dan 200.000 patiënten te stelen, zo laat MacKeeper weten. Het gaat om namen, telefoonnummers, geboortedata, adresgegevens, e-mailadressen en in sommige gevallen ook medisch dossiernummers. Of de kliniek het gevraagde losgeld heeft betaald is onduidelijk. Inmiddels heeft het bitcoin-adres waar slachtoffers het geld naar toe moeten overmaken 20 transacties ontvangen.
Het probleem van onbeveiligde MongoDB-databases is al langer bekend. John Matherly van de zoekmachine Shodan maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist. Het gaat bij elkaar om 364 terabyte aan publiek toegankelijke data. Inmiddels zijn 8500 databases door de aanvaller gegijzeld, stelt Matherly via Twitter.
Slaapkliniek
Beveiligingsonderzoekers zijn er wel in geslaagd om één database te redden. Het betreft een database van een Amerikaanse slaapkliniek die veteranen met slaapproblemen helpt. Ook deze database bleek zeer gevoelige persoonlijke informatie te bevatten die voor iedereen op internet toegankelijk was. In totaal ontdekten de onderzoekers meer dan 1300 berichten tussen artsen en patiënten van meer dan 1200 mensen.
Daarnaast bleek de database namen, e-mailadressen, telefoonnummers, onversleutelde wachtwoorden en militaire rank te bevatten. Met name de opgeslagen chatgesprekken waren zeer persoonlijk. Na te zijn ingelicht werd de database offline gehaald, hoewel de onderzoekers van MacKeeper die het probleem rapporteerden geen reactie van de kliniek ontvingen.
Komt op het zelfde neer als jouw vraag alleen de situatie is ietwat problematischer.
Maar het zal wel weer op een schikking met de leverancier uitlopen
en het onveiligheidscircus trekt dan weer verder achter de groene bergen....
Er zijn te velen bij onveiligheid gebaat kennelijk, ga je weleens denken.
Maar dat is een valse gedachte drukt men mij steeds op het hart.
In de Middeleeuwen wisten we dat we in een onveilige wereld leefden maar konden er niets aan doen.
Nu we er iets aan kunnen doen, leven we weer liever in een nieuws soort van Middeleeuwen.
Wat een situatie......
Shodan zorgt voor heel wat crimineel vertier.
Maar als altijd het ligt niet aan het gereedschap, maar waar je het voor gebruiken wil.
Vanuit dat perspectief heb ik me altijd verbaasd over het gemak waarmee databases op servers worden gezet die rechtstreeks aan het internet hangen, en waarmee applicaties die op aan het internet verbonden servers draaien over een directe lijn naar een DBMS beschikken, waar als iemand blundert met de autorisatie potentieel elke query over kan worden uitgevoerd.
Ik snap de voordelen op het gebied van ontwikkelgemak en -snelheid (en dus de ontwikkelkosten), maar ik snap ook de voordelen die het ontbreken van al te flexibele mogelijheden opleveren. Bij een service-interface naar een niet rechtstreeks aan het internet gekoppelde backend kan een aanvaller alleen gebruiken wat aan mogelijkheden geïmplementeerd is, in plaats van alle mogelijkheden die niet expliciet afgeschermd zijn. Even de hele database versleutelen of de wachtwoorddatabase uitlezen is er dan domweg niet bij. Schade aanrichten wordt dan maatwerk en de reikwijdte ervan is aanzienlijk bepekt ten opzichte van wat hier gebeurd is.
Maar ja, zo'n benadering is omslachtiger en duurder. Verschillen in degelijkheid worden voor veel afnemers pas zichtbaar als het misgaat, en als het nooit ernstig misgaat met een goede maar dure oplossing ziet men alleen dat het duur is. En dus winnen oplossingen waar het nodige op aan te merken is het op hun sloffen en krijg je dit soort ellende. En dus winnen aanbieders van goedkope oplossingen die claimen dat de beveiliging goed is en die pas door de mand vallen als de klant niet meer zonder ze kan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.