Plus de 28 000 bases MongoDB ont été effacées contre rançon

La foire aux données 59
En bref
image dediée
Crédits : Yurchello108/iStock
Securité
Par
le mardi 10 janvier 2017 à 09:35
Vincent Hermann

Le danger s’accroit pour les bases MongoDB qui seraient mal configurées. Alors que l’on comptait en milieu de semaine dernière environ 2 000 bases attaquées, on se rapproche désormais des 30 000. Le problème est toujours le même : l’absence de mise à jour et de configuration adaptée.

La semaine dernière, nous indiquions qu’environ 1 800 bases de données MongoDB avaient été vidées de leurs données par un pirate agissant sous le nom Harak1r1. Avant d’effacer les contenus, il les téléchargeait puis demandait une rançon de 0,2 bitcoin pour les récupérer. Jeudi dernier, seules 18 victimes avaient accepté de payer, la somme n’étant guère élevée. À l’heure où nous écrivons ces lignes, ce chiffre a légèrement augmenté : 26.

2 000 bases, puis 10 500, puis 28 000...

Mais en quelques jours, la situation a largement évolué. Les multiples articles ayant tiré la sonnette d’alarme ont également braqué la lumière sur une situation qui ne demandait finalement qu’à être exploitée par d’autres. Dès vendredi dernier, le nombre de bases exploitées grimpait ainsi déjà à 10 500, selon Victor Gevers qui avait découvert le problème.

Gevers et un autre chercheur, Niall Merrigan, ont suivi l’évolution de ces attaques de près. Dimanche, le nombre de victimes atteignait presque les 27 000. À l’heure actuelle, il est précisément de 28 322 bases attaquées et vidées, les statistiques étant maintenues dans un tableau Google Sheets.

Presque 100 000 bases piratables

On peut y voir que le pirate Harak1r1 a fait jusqu’à présent 4 174 victimes précisément. Cependant, avec l’envolée du nombre de bases attaquées, on se doute bien que d’autres se sont lancés dans la même activité. Celui qui possède l’adresse kraken0@india.com a ainsi attaqué et vidé plus de 16 000 bases MongoDB, selon le même mode opératoire que Harak1r1. À la différence près qu’il réclame dans la plupart des cas 1 bitcoin, soit environ 860 euros. Pour l’instant, personne ne semble avoir payé autant, mais 67 ont accepté de verser 0,1 bitcoin quand cela leur était demandé.

Si on se rapproche des 30 000 bases attaquées, il reste encore de la marge aux pirates. Comme le signale en effet The Hackers News, le moteur de recherche spécialisé Shodan indique que 99 000 environ ont les caractéristiques nécessaires.

D’après le tableau des deux chercheurs, une quinzaine de pirates se sont lancés dans cette activité qu’ils espéraient sans doute lucrative. Les informations publiées par les chercheurs et la presse ont sans doute contribué à décider quelques autres pirates à se lancer dans l’aventure, certains très sérieusement d’ailleurs.

Les avertissements à double-tranchant

Malheureusement, il n’existe guère de moyen efficace d’avertir les victimes potentielles sans ébruiter la situation. Les bases concernées sont toujours anciennes, créées le plus souvent dans des instances sur des plateformes de cloud comme AWS (Amazon Web Services). Une fois en place, elles ne sont plus mises à jour et la configuration y est minimale. Pour rappel, les administrateurs concernés ont laissé ouvert la possibilité de se connecter à distance sans même exiger des identifiants. Un comportement que MongoDB avait déjà modifié, mais beaucoup n’ont pas installé les moutures suivantes.

Notez que MongoDB a également publié la semaine dernière un billet de blog centré sur ces attaques, et surtout la manière de les éviter.


chargement
Chargement des commentaires...