image

MongoDB waarschuwt voor aanvallers die databases gijzelen

zondag 8 januari 2017, 09:42 door Redactie, 6 reacties

Ontwikkelaar van databasesoftware MongoDB heeft beheerders en gebruikers gewaarschuwd voor aanvallers die databases voor losgeld gijzelen. De afgelopen dagen hebben verschillende groepen aanvallers meer dan 11.000 databases van websites en organisaties gegijzeld.

MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Veel van deze databases zijn zonder wachtwoord benaderbaar. De aanvallers kunnen zo de inhoud van de database kopiëren en die vervolgens in de originele database vervangen door een boodschap dat er betaald moet worden om de kopie terug te krijgen. Het gaat om bedragen van tussen de 0,1 en 0,5 bitcoin, wat met de huidige wisselkoers 90 tot 450 euro is. Onderzoeker Niall Merrigan heeft op Google Docs een overzicht van de verschillende groepen aanvallers en het aantal slachtoffers geplaatst. Inmiddels zijn 11.397 databases gehackt.

In de waarschuwing laat MongoDB weten dat deze aanvallen zijn te voorkomen door beschikbare beveiligingsmaatregelen in te schakelen. Verder worden tips gegeven om MongoDB-installaties te beveiligen en krijgen slachtoffers van een gegijzelde database advies. Andreas Nilsson van MongoDB laat getroffen organisaties ook weten dat ze ervan moeten uitgaan dat de aanvaller alle gegevens in de aangevallen databases heeft gekopieerd en interne procedures voor een datalek moeten worden gevolgd.

John Matherly van de zoekmachine Shodan maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist. Het gaat bij elkaar om 364 terabyte aan publiek toegankelijke data.

Reacties (6)
08-01-2017, 10:13 door Anoniem
De spreadsheet is van Victor Gevers (0xDUDE) en Niall Merrigan (@nmerrigan).

Niall tracked de OSINT bronnen en Victor helpt de slachtoffers die om hulp vragen.
Link: https://www.databreaches.net/dont-pay-the-mongodb-ransom-until-you-check-to-see-if-its-a-scam/

Het zijn er trouwens meer dan 99.000 open MongoDB: https://twitter.com/0xDUDE/status/817057481830633472
08-01-2017, 14:26 door Anoniem
"John Matherly van de zoekmachine Shodan maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist."

Jaartje extra sabatical voor 0xDUDE voor 60k nieuwe meldingen?
08-01-2017, 15:51 door karma4 - Bijgewerkt: 08-01-2017, 15:52
Devops en shadow-it als succes: het werkt toch? Onze customer/owner is tevreden zijn journeys zijn naar tevredenheid afgehandeld.
08-01-2017, 16:15 door Erik van Straten
Inmiddels zijn 11.397 databases gehackt.

In de waarschuwing laat MongoDB weten dat deze aanvallen zijn te voorkomen door beschikbare beveiligingsmaatregelen in te schakelen.
We moeten er naar toe dat softwareleveranciers, die niet zelf alle beschikbare beveiligingsmaatregelen inschakelen voordat een product naar een klant gaat, aan de hoogste boom worden geknoopt. D-Link [1] is een goed begin. Pak ook Microsoft aan met haar idiote WPAD en by default ingeschakelde legacy netbios protocollen.

Als een klant vervolgens beveiligingsmaatregelen verzwakt of uitschakelt c.q. als lek bekend staande protocollen inschakelt, is tenminste duidelijk wie voor eventuele lekken verantwoordelijk is.
08-01-2017, 19:44 door karma4 - Bijgewerkt: 08-01-2017, 19:50
Door Erik van Straten: ......
Als een klant vervolgens beveiligingsmaatregelen verzwakt of uitschakelt c.q. als lek bekend staande protocollen inschakelt, is tenminste duidelijk wie voor eventuele lekken verantwoordelijk is.
On topic: We hebben het hier over OSS software waarvan iedereen de code kan reviewed. De implementatie mag je zelf uitzoeken er is geen leverancier. Shadow-it en devops stellen de klant centraal het moet werken. Data governance secùrity by design zijn verfoeide ouderwetse watervalmethiden die te kostbaar zijn. Als je over iets klaagt moet je over het juiste klagen in de context waar het over gaat.

Je vroeg ooit waarom ik me zo druk maakte over dit soort databases. Nee niet over de databaes en techniek maar de wijze waarop ze neergezet worden. Dan wetend welke data er in gestopt wordt. Het is de verkoop en marketing als motor.

Die idiote netbios protocollen v1 van IBM is de oude samba connectie v2 zou beter moeten gaan. Moet je wel samba up to date naar laatste stand gebracht hebben. Je zit dan in de problematiek van linux/unix integratie. Een behoorlijk wespennest om degelijke datasecurity voor elkaar te krijgen. Als je nog vast zit aan oude 16 groups limieten heb je leuke verrassingen.
08-01-2017, 20:31 door Anoniem
MongolDB is ontwikkeld door ontwikkelaars zonder verstand van security en in gebruik door mensen zonder verstand van secuirty. Pas na diverse publicaties en waarschuwingen zijn de ontwikkelaars deels over gegaan op het meer veilig maken, maar veel van de gebruikers weten ze niet te bereiken omdat die nog steeds niets op hebben met patchen en beveiligen. Ik vind het niet kunnen dat criminelen hier misbruik van maken, maar ik heb ook weinig medeleiden met dit slechte nieuws voor mongodb en die gebruikers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.