Szerző: Hlács Ferenc

2017. január 11. 17:00

Tömegesen ejtik foglyul a nyitott MongoDB adatbázisokat

Nyitva felejtett MongoDB adatbázisok lettek az online bűnözők új aranybányái, már a 20 ezret is meghaladja a támadássorozatban célba vett szervezetek száma. Az elvesztett fájlok visszaszerzését a váltságdíj kifizetése sem garantálja.

Több tízezer rosszul felkonfigurált MongoDB adatbázis esett áldozatul a legújabb ransomware-rohamnak, sőt a szerencsétlenebbek még az utóhullámoknak is - a tömeges online túszszedésről a Krebs on Security számolt be. A MongoDB-t rengetegen használják, annak hátránya ugyanakkor, hogy félrekonfigurálva vagy csak a szerveren alapértelmezett beállításokon felejtve lényegében bárkinek korlátlan hozzáférést enged a tárolt adatokhoz, beleértve az írási és olvasási jogokat is. Noha ismert gyengeségről van szó, mégis rendre szivárognak ki potenciálisan érzékeny adatok különböző vállalatoktól, a hibás beállítások miatt.

A problémára most a ransomware-fejlesztők is felkapták a fejüket, és mind többen igyekeznek "monetizálni" azt. A "piacon" pedig sokaknak jut hely, a Krebs on Security elemzései szerint ugyanis jelenleg több mint 52 ezer nyilvánosan elérhető MongoDB adatbázis működik világszerte, legnagyobb részük az Egyesült Államokban. Ezekre csaptak le most a ransomware-gazdák, akik a nyilvánosan elérhető adatokat titkosítják, majd szokásukhoz híven bitcoinban kérnek váltságdíjat az információk visszaszolgáltatásáért cserébe.

Nyílt MongoDB adatbázisok világszerte

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A követelt összeg kicsengetése sem garantálja azonban, hogy az áldozat visszakapja az adatait: az MongoDB felhasználók tortúráját Niall Merrigan és Victor Gevers biztonsági szakértők is nyomon követik, és eddigi tapasztalataik szerint alig néhányan nyertek ismét hozzáférést a titkosított információkhoz a fizetést követően. A kutatók egy nyilvánosan megtekinthető Google dokumentumot is létrehoztak, amelyben nyilvántartják a támadásoknak áldozatul esett szervezeteket, illetve azt is, azok fizettek-e és ha igen visszakapták-e adataikat.

A szakértők jelenleg senkinek nem javasolják a váltságdíj kifizetését, miután az nem jelent garanciát a probléma elhárítására és csak támogatja az "üzleti modellt". Ha valaki mégis a fizetés mellett dönt, érdemes előtte valamilyen bizonyítékot, például egy-két feloldott fájlt kérni a zsarolótól, hogy megmutassa, valóban képes visszaállítani azokat. Emellett a támadókkal való alkudozás is sikeres lehet, ahogy az korábban Mikko Hypponen tapasztalataiból is kiderült.

A támadók lényegében mind ugyanazt a módszert használják: egy megfelelő keresőmotor, például Shodan használatával felkutatják a nyitott MongoDB adatbázisokat és módszeresen el is kezdik azok titkosítását. A kutatók szerint eddig legalább 20 ezer adatbázist titkosítottak, ezek száma pedig folyamatosan nő. Akik tehát MongoDB-t használnak akár személyes, akár üzleti környezetben, ha eddig nem tették meg haladéktalanul váltsanak az alapértelmezett beállításokról és korlátozzák a hozzáférést az adatbázishoz.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról