47 % des bases de données MongoDB exposées en ligne, un hacker tente de les rançonner
22 900, c’est le nombre de base de données MongoDB sur lequel un hacker a uploadé des notes de rançon.
Ces bases de données il faut le noter étaient exposée en ligne sans aucune protection préalable. Cette exposition comprend un peu 47 pourcents des bases de données accessible MongoDB en ligne.
Cet article va aussi vous intéresser : Attaque au rançongiciel : une entreprise polynésienne s’est fait surprendre
Pour retrouver les bases de données dont il est questions ici, le pirate informatique a utilisé des codes automatisés pour les rechercher en ligne. Une fois l’avoir eu, ce dernier a tout simplement effacé le contenu, et la place a laissé une note où il exige le paiement d’une façon de 0,015 bitcoin, soit 140 dollars
Par la suite, le cybercriminel donne au entreprises un délai de 2 jours pour le paiement de la rançon. Si cela ne se fait pas comme demander, il menace de divulguer alors les données qu’il a récoltées, et par la suite, contacter les autorités en charge du respect du RDPD, le règlement général sur la protection donnée, pour signaler une fuite.
Depuis Avril 2020, ce genre d’attaques exigeant des rançons de type (READ_ME_TO_RECOVER_YOUR_DATA) ont plusieurs fois été observées. Selon Victor Gevers, un expert de la sécurité informatique, a souligné le fait qu’à l’origine, cette pratique n’était pas accompagnée d’effacement de données.
Le pirate informatique a continué à rester connecter sur la base des années concernées pour ensuite y laisser une nouvelle note quelques jours plus tard.
L’agresseur a continué à se connecter à la même base de données, laissant la demande de rançon, puis y retournant pour laisser une autre copie de la même demande, quelques jours plus tard.
Selon notre expert en cybersécurité, Victor Gevers, parmi les données récupérées par le cybercriminel, certaines étaient juste pour des outils de test, une grande partie des systèmes de production ont été affecté, car leurs données ont été supprimées. L’expert avait signalé qu’il avait remarqué dans l’exercice de sa tâche, dans la Fondation GDI, que les données concernées avaient bel et bien été effacées un peu plus tôt dans la journée lors des différentes vérifications des systèmes MongoDB. Des systèmes qu’il avait la tâche de surveiller et de sécuriser. « Aujourd’hui, je n’ai pu signaler qu’une seule fuite de données. Normalement, je peux en faire au moins 5 ou 10 », note Victor Gevers.
Selon ce dernier, il est possible d’observer ce genre de genre de cyberattaque continuellement depuis fin 2016. En effet ce genre d’attaques contre les données dans le contexte de « MongoDB wiping & ransom » ne sont pas en pratique, quelque chose de récent. Les attaques répérées par l’expert en sécurité informatique rentre dans un contexte d’attaques informatiques qui se fait incessante depuis le mois de novembre 2016.
Et pour cause, les pirates informatiques se sont rendu compte qu’ils avaient la possibilité de se faire beaucoup d’argent. Tout simplement en copiant et effaçant les données des serveurs MongoDB, avec une demande de rançon à la place. Comme ils le savent certainement, les propriétaires de serveur qui souvent désespérés de perdre leur donnée, sont souvent tentés de payer les sommes exigées pour les récupérer.
On compte près de 28 000 serveurs qui auraient été ciblés par des cyberattaques en série en janvier 2017. En septembre 2017, le nombre était à 26 000 puis en février 2019 à 3000. Une manière de montrer la récurrence de ces incidents de sécurité.
Le directeur principal de la sécurité des produits de chez MongoDB, Davi Ottenheimer, accusé en 2017 les propriétaires de cette base de données, de ne pas prendre les mesures sécuritaires idoines pour les protéger, les exposants ainsi avec cyberattaque. Car il en existe plusieurs de ces bases de données qui n’avaient pas de pare-feu. Malheureusement même 3 ans plus tard, aucune amélioration n’a été observé à ce niveau. Sur les 60 000 serveurs indexés par le directeur de la sécurité, 48 100 sont toujours exposés sur internet sans aucune protection. Et la majorité d’entre eux ne possèdent pas de véritable mode d’authentification activés.
Dans la majorité des cas, ces serveurs se trouvent exposé en ligne sans aucune protection, lorsque leurs administrateurs ont suivi des règles de configuration qui n’était pas correctes. Car la configuration par défaut de toutes les bases de données MongoDB est aujourd’hui procurés avec des paramètres par défaut qui sont sécurisés. Et pourtant il reste encore des dizaines de milliers de serveurs qui manque de la sécurité la plus basique possible et continue d’être un facilement accessible sur internet sans qu’aucune application logique ne puisse éclaircir cela.
Accédez maintenant à un nombre illimité de mot de passe :