Эксперты фиксируют рост числа угонов MongoDB, грозящих потерей важной информации.
Первые атаки на популярную СУБД с открытым исходным кодом, используемую в средах обработки и анализа больших объемов данных, Виктор Геверс (Victor Gevers) зафиксировал 27 декабря.
В комментарии белый хакер и учредитель НКО GDI Foundation отметил, что с тех пор подобные инциденты заметно участились. Это наблюдение подтвердил и создатель Shodan Джон Мазерли (John Matherly): по его данным, за неделю число хакерских атак против MongoDB возросло до 2 тыс. с лишним. В конце декабря некий хакер, использующий ник Harak1r1, взял на себя ответственность за компрометацию нескольких MongoDB и удаление содержимого баз данных с целью получить выкуп в размере 0,2 биткойна (около $220).
Кражу данных, по словам Геверса, можно было обнаружить лишь при входе в MongoDB: в верхнем поле базы данных хакер оставил следующее сообщение: «Свяжитесь по этому email, указав IP-адрес вашего сервера, если хотите вернуть базу данных».
Примеру Harak1r1 последовали еще три хакера, которые иногда просто уничтожают данные, и уплата выкупа в этом случае для жертвы бесполезна. «Атаки изменились, — говорит Геверс. — Они теперь выбирают те базы данных, которые, по их представлению, содержат ценную информацию». Ранее атаки проводились без разбора, а теперь хакеры целенаправленно атакуют провайдеров медицинских услуг, телекоммуникационные компании, посредников в торговле информацией, поставщиков электроэнергии.
При этом авторы атак конкурируют между собой: если хакер атакует систему и находит чужое сообщение с требованием выкупа, он его заменяет своим. К сожалению, это уменьшает шансы жертвы на выкуп данных. Проблема особенно остра в США, где большинство реализаций MongoDB хостятся на серверах Amazon. По свидетельству Боба Дьяченко, главы MacKeeper по связям с общественностью, Amazon отличается тем, что позволяет администраторам использовать MongoDB с дефолтными настройками, не предполагающими ввод имени пользователя или пароля для доступа к базе данных.
Дьяченко обнаружил, что хакеры находят уязвимые серверы MongoDB запросом к Shodan или непосредственным сканированием Интернета. Согласно сайту MongoDB, соответствующие реализации для разных нужд в настоящее время предлагают такие крупные организации, как MetLife, Bosch, Expedia и The Weather Channel.
Геверс в свою очередь подчеркнул, что, несмотря на постоянные предупреждения об уязвимости MongoDB, в Интернете еще много несовершенных реализаций. Так, недавнее сканирование с помощью Shodan выявило 46 тыс. MongoDB, открытых для атак. Тем, кто использует эту СУБД с дефолтными настройками, рекомендуется обновить ПО и ввести процедуру аутентификации для доступа к базе данных.
Согласно твиту Геверса, опубликованному ранним утром 7 января, MongoDB атакуют уже восемь групп вымогателей, и лишь одна из них сохраняет базы данных на стороннем сервере. За сутки до этой публикации ИБ-исследователь Нил Мерриган (Niall Merrigan) сообщил, что количество скомпрометированных серверов MongoDB достигло 10,5 тыс., то есть, по оценке Bleeping Computer, в заложники взяты примерно четверть баз MongoDB, доступных из Интернета.
