image

Aanvaller gijzelt ruim 1800 databases voor losgeld

woensdag 4 januari 2017, 10:34 door Redactie, 2 reacties
Laatst bijgewerkt: 04-01-2017, 11:47

Een aanvaller heeft ruim 1800 databases op internet gegijzeld en vraagt zo'n 200 euro aan slachtoffers voor het teruggeven van de data. Inmiddels zouden 13 slachtoffers het gevraagde bedrag hebben betaald. De aanvaller heeft het voorzien op onbeveiligde MongoDB-databases.

De inhoud van de database wordt verwijderd en vervangen door een bericht van de aanvaller. Daarin staat dat er 0,2 bitcoin moet worden betaald om de database terug te krijgen. Met de huidige wisselkoers is dat zo'n 200 euro. De Nederlandse beveiligingsonderzoeker Victor Gevers van de GDI.Foundation, een Nederlandse stichting van beveiligingsexperts zonder winstoogmerk, plaatste onlangs een bericht op Twitter dat onbeveiligde MongoDB-databases werden gegijzeld. "Omdat ik dit in de afgelopen jaren naast het bekende vandalisme nog niet was tegengekomen heb ik deze gegevens even gedeeld via Twitter, in de hoop zo ook in contact te kunnen komen met de slachtoffers", laat Gevers tegenover Security.NL weten. "Ondertussen hebben er behoorlijk wat partijen bij ons aangeklopt met een directe hulpvraag om hun databaseserver te beveiligen, wat echt heel simpel is."

Sinds zijn tweet heeft Gevers nog meer meldingen van organisaties binnengekregen die getroffen zijn. "En zie ik het aantal geplunderde databases actief toenemen. Iemand heeft een goed verdienmodel gevonden en is makkelijk aan het verdienen", laat Gevers weten. Uit informatie van Blockchain.info blijkt dat 13 slachtoffers inmiddels de gevraagde 0,2 bitcoin hebben betaald. De getroffen organisaties kregen in dit geval ook hun database terug. Gevers heeft verschillende slachtoffers gratis geholpen met het beveiligen van hun database. "Alleen de server een bind_ip=127.0.0.1 of en mongod --auth restart geven is wat je dan voor die partijen nog kan doen."

Volgens de onderzoeker is het probleem van onbeveiligde MongoDB-servers al geruime tijd bekend en wordt het ook automatisch gemeld. Internetproviders zouden deze berichten echter niet doorzetten, waardoor veel partijen niet worden geïnformeerd totdat het te laat is, aldus Gevers. De onderzoeker liet Security.NL weten dat hij 192 gegijzelde databases had geteld. Niet veel later kwam John Matherly van de zoekmachine Shodan met een update. Hij stelt dat ruim 1800 databases inmiddels zijn gegijzeld. Matherly maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist. Ook Gevers bevestigt de omvang van het probleem. "Op het moment staan er nog veel grote databases open met vaak zeer gevoelige informatie. Het opruimen hiervan gaat nog wel even duren."

Image

Reacties (2)
04-01-2017, 11:27 door Anoniem
En zo houden we de negatieve vicieuze cirkel in stand.

Ik vraag me af hoeveel van die data owners officieel aangifte doet. (daar waar het eventueel verplicht zou zijn) Het zullen er waarschijnlijk heel weinig zijn om imago schade te voorkomen daar waar er belang bij is.

Zeker gezien het lage bedrag van 200 euro zal het grootste deel niet gemeld worden.

En ik vraag me af of die harak <en nog wat> zelf wel eens klikt op links in zijn email.

Overigens een kleine correctie: het is gDi niet gFi
04-01-2017, 16:59 door karma4
Door Anoniem: ...
Ik vraag me af hoeveel van die data owners officieel aangifte doet. (daar waar het eventueel verplicht zou zijn) Het zullen er waarschijnlijk heel weinig zijn om imago schade te voorkomen daar waar er belang bij is. ....
Goeie vraag. de doelgroepgebruikers zijn marketing en data scientists in een devops shadow - it benadering. De gangbare ict laat het afweten en dit werkt. Dat het niet aan de eigen policies en wettelijke kaders voldoet is geen punt totdat het echt fout gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.