MongoDB waarschuwt voor aanvallers die databases gijzelen
Ontwikkelaar van databasesoftware MongoDB heeft beheerders en gebruikers gewaarschuwd voor aanvallers die databases voor losgeld gijzelen. De afgelopen dagen hebben verschillende groepen aanvallers meer dan 11.000 databases van websites en organisaties gegijzeld.
MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Veel van deze databases zijn zonder wachtwoord benaderbaar. De aanvallers kunnen zo de inhoud van de database kopiëren en die vervolgens in de originele database vervangen door een boodschap dat er betaald moet worden om de kopie terug te krijgen. Het gaat om bedragen van tussen de 0,1 en 0,5 bitcoin, wat met de huidige wisselkoers 90 tot 450 euro is. Onderzoeker Niall Merrigan heeft op Google Docs een overzicht van de verschillende groepen aanvallers en het aantal slachtoffers geplaatst. Inmiddels zijn 11.397 databases gehackt.
In de waarschuwing laat MongoDB weten dat deze aanvallen zijn te voorkomen door beschikbare beveiligingsmaatregelen in te schakelen. Verder worden tips gegeven om MongoDB-installaties te beveiligen en krijgen slachtoffers van een gegijzelde database advies. Andreas Nilsson van MongoDB laat getroffen organisaties ook weten dat ze ervan moeten uitgaan dat de aanvaller alle gegevens in de aangevallen databases heeft gekopieerd en interne procedures voor een datalek moeten worden gevolgd.
John Matherly van de zoekmachine Shodan maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist. Het gaat bij elkaar om 364 terabyte aan publiek toegankelijke data.
Niall tracked de OSINT bronnen en Victor helpt de slachtoffers die om hulp vragen.
Link: https://www.databreaches.net/dont-pay-the-mongodb-ransom-until-you-check-to-see-if-its-a-scam/
Het zijn er trouwens meer dan 99.000 open MongoDB: https://twitter.com/0xDUDE/status/817057481830633472
Jaartje extra sabatical voor 0xDUDE voor 60k nieuwe meldingen?
In de waarschuwing laat MongoDB weten dat deze aanvallen zijn te voorkomen door beschikbare beveiligingsmaatregelen in te schakelen.
Als een klant vervolgens beveiligingsmaatregelen verzwakt of uitschakelt c.q. als lek bekend staande protocollen inschakelt, is tenminste duidelijk wie voor eventuele lekken verantwoordelijk is.
Als een klant vervolgens beveiligingsmaatregelen verzwakt of uitschakelt c.q. als lek bekend staande protocollen inschakelt, is tenminste duidelijk wie voor eventuele lekken verantwoordelijk is.
Je vroeg ooit waarom ik me zo druk maakte over dit soort databases. Nee niet over de databaes en techniek maar de wijze waarop ze neergezet worden. Dan wetend welke data er in gestopt wordt. Het is de verkoop en marketing als motor.
Die idiote netbios protocollen v1 van IBM is de oude samba connectie v2 zou beter moeten gaan. Moet je wel samba up to date naar laatste stand gebracht hebben. Je zit dan in de problematiek van linux/unix integratie. Een behoorlijk wespennest om degelijke datasecurity voor elkaar te krijgen. Als je nog vast zit aan oude 16 groups limieten heb je leuke verrassingen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.