Un cybercriminel inconnu a infiltré 22 900 bases de données non sécurisées de MongoDB, effaçant leur contenu et laissant derrière lui une demande de rançon exigeant des bitcoins en échange des données. Si la rançon n'est pas payée dans les deux jours, ils ont menacé d'en informer les autorités chargées de faire appliquer le règlement sur la protection des données général de l'Union européenne (RGPD).
Selon ZDNet, qui a rendu publique cette histoire, le pirate utilise des scripts automatisés pour rechercher sur Internet les installations de MongoDB qui sont confrontées à Internet sans protection par mot de passe, en supprimant leur contenu et en demandant 0,015 bitcoin (environ 140 dollars) pour rendre les données.
Le cybercriminel a même été assez "réfléchi" pour fournir un guide sur la façon d'acheter des bitcoins. Il semble que le mauvais acteur utilise plusieurs portefeuilles de bitcoins et adresses e-mail, mais la formulation de la menace reste cohérente. Si les conditions ne sont pas remplies, ils menacent de divulguer les données et de contacter les régulateurs de la RGPD.
Victor Gevers, chercheur en sécurité à la Fondation GDI, a souligné que les premières attaques ne disposaient pas de la fonction d'effacement des données. Une fois que le mécréant s'est rendu compte de l'erreur dans son scénario, il l'a modifié et a commencé à effacer les bases de données de MongoDB. Des cas d'attaques utilisant cette demande de rançon particulière ont été enregistrés depuis le mois d'avril de cette année.
Le chercheur, dont les responsabilités incluent le signalement des serveurs exposés, a déclaré qu'il avait remarqué les systèmes effacés alors qu'il vérifiait les bases de données MongoDB qu'il était censé signaler afin qu'elles soient sécurisées. Il précise pour ZDNet : « Aujourd'hui, je n'ai pu signaler qu'une seule fuite de données. Normalement, je peux en faire au moins 5 ou 10. »
Bien que la rançon demandée puisse sembler dérisoire, si on la multiplie par le nombre de bases de données non sécurisées, il s'avère que l'acteur malveillant tente d'extorquer près de 3,2 millions de dollars au total. Bien que l'on puisse affirmer que chaque entité affectée ne cédera pas aux demandes, la menace d'amendes à cause du RGPD peut en convaincre certains de payer, car la rançon est dérisoire par rapport aux énormes amendes qui peuvent être infligées par les autorités de régulation.
Les bases de données non sécurisées et mal configurées peuvent difficilement être considérées comme un cas rare. Dans un exemple notable, des pirates éthiques ont laissé un « message amical » dans des bases de données de stockage dans le nuage Amazon S3 exposées.
On observe depuis au moins 2016 des attaques qui impliquent l'infiltration ou la rétention de bases de données dans le nuage à des fins de demandes rançon. Si vous êtes un administrateur de base de données MongoDB qui préfère éviter de faire face à de telles tentatives d'extorsion, vous voudrez peut-être consulter ce manuel de sécurité MongoDB. Nous vous invitons également à découvrir nos cinq conseils généraux pour garder vos bases de données en sécurité.