Хакеры атакуют MongoDB: число скомпрометированных систем превысило 27 00010.01.2017 07:18

В СМИ попала информация о масштабной волне кибератак, жертвами которых становятся администраторы систем, использующих MongoDB. Злоумышленники получают к ним доступ, а затем удаляют данные из уязвимых или неверно настроенных систем, после чего требуют выкуп.

Норвежский исследователь информационной безопасности и работник Microsoft Ниал Мерриган (Niall Merrigan) зафиксировал всплеск атак, целью которых были системы MongoDB — по его словам всего за двенадцать часов их число увеличилось с 12 000 до 27 633. Часто злоумышленники вымогают у администраторов взломанных систем деньги за возвращение данных — на начало волны кибератак сумма составляла 0,2 биткоина ($184). Есть информация о том, что некоторые жертвы действительно осуществляли выплаты взломщикам.

Мерриган и его коллеги сумели отследить активность 15 хакеров — один из них, под ником kraken0, взломал 15 482 экземпляров MongoDB и требовал от их администраторов по одному биткоину ($921) за возврат данных — однако, пока никто ему не платил.

Ниал Мерриган и его коллега Виктор Жеверс (Victor Gevers) помогли 112 жертвам повысить защищенность их уязвимых систем. При этом, по словам Жеверса, всего уязвимы 99 000 систем MongoDB.

Защищенность систем MongoDB — известная проблема. Еще в 2015 году основатель поисковика Shodan Джон Мэзерли (John Matherly) публиковал данные исследований, согласно которым более 30000 экземпляров MongoDB были доступны из интернета без контроля доступа.

Комментарии (4)

• BekoBou

  9 января 2017 в 19:25

  +7

  ↑

  ↓

  M310: MongoDB Security — курс лекций начинается завтра (10 Jan 2017 at 17:00 UTC)

  • format1981

    9 января 2017 в 20:23

    +2

    ↑

    ↓

    Жесткий пиар?

    • BekoBou

      10 января 2017 в 01:24

      0

      ↑

      ↓

      Почему? Курс от создателей MongoDB, на их площадке. Просто полезная ссылка в рамках статьи.

• Dimd13

  10 января 2017 в 06:44

  0

  ↑

  ↓

  Вероятнее всего слово взломал/взломали в статье следует употреблять в кавычках, почти уверен что эти все базы имеют дефолтные настройки безопасности, т.е. без парольный доступ и сводит взлом к поиску открытого дефолтного порта и «настройки» этой самой безопасности атакующим.