Il caso dell'hacker che viola i database e minaccia di denunciare i proprietari per violazione del GDPR

Il caso dell'hacker che viola i database e minaccia di denunciare i proprietari per violazione del GDPR

Un hacker sta sistematicamente violando migliaia di istanze di MongoDB, cancellandone i dati locali e lasciando una nota peculiare: "se non pagate il riscatto, vi denuncio alle autorità per violazione del GDPR"

di pubblicata il , alle 09:01 nel canale Security
 

Si potrebbe riassumere nel classico "oltre al danno, la beffa" la situazione che molti amministratori di database MongoDB stanno vivendo: un hacker ha creato uno script automatico per entrare in istanze non protette da password, farne un backup remoto, cancellarle e chiedere un riscatto - con la minaccia di una segnalazione alle autorità per violazione del GDPR nel caso in cui non venga versata la somma richiesta entro due giorni. Una situazione paradossale in cui è il criminale a minacciare una denuncia alle autorità, ma che svela un problema piuttosto grande: quello della disattenzione alla sicurezza.

Chiede riscatto per i dati su MongoDB e minaccia la denuncia per violazione della GDPR

Un hacker sta sistematicamente entrando in migliaia di installazioni di MongoDB lasciate senza password e senza altre protezioni, cancellando i dati e chiedendo un riscatto per restituirli. Non si tratta di una novità assoluta: già in passato era capitato che le istanze di MongoDB venissero prese di mira dagli hacker. L'aspetto interessante della vicenda odierna, riportata da ZDNet, sta nel fatto che il criminale minaccia, nel caso in cui non venga pagato il riscatto di 0,015 bitcoin(circa 120€) entro 24 ore, di denunciare l'accaduto alle autorità per violazione del GDPR.

MongoDB

A essere coinvolti sono 22.900 database MongoDB, ovvero il 47% di quelli raggiungibili pubblicamente online. Un numero particolarmente elevato che evidenzia l'utilizzo di sistemi automatici per entrare nei database e portare avanti l'attività criminale.

Attacchi come questo non sarebbero possibili, però, se venissero seguite alcune semplici pratiche di buonsenso. Il motivo per cui l'hacker è riuscito a entrare in così tanti database è duplice: da un lato c'è il fatto che non c'è una password a proteggere i dati, dall'altro la mancanza di un firewall a protezione del database. Questi due semplici accorgimenti avrebbero facilmente evitato i problemi odierni.

Il problema nasce dunque da una mancanza di attenzione o di competenza, o da errori umani che non vengono poi controllati e corretti. Vengono dunque a mancare le basi per operare un sistema esposto al pubblico. Il consiglio è dunque quello di controllare più attivamente la sicurezza dei propri database, in particolare quando questi sono esposti verso l'esterno, seguendo le migliori pratiche del settore facilmente recuperabili in Rete (anche dal sito ufficiale di MongoDB, ad esempio).

29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Phoenix Fire03 Luglio 2020, 09:31 #1
ma di solito non si ricatta la gente con le foto porno?
Argolone03 Luglio 2020, 09:50 #2
quindi se ho capito bene, se non gli dai 120 euro, questo va dalle autorità a fare denuncia lasciando tutti i suoi dati, perchè non credo che in questi casi le denunce anonime servano a qualcosa, o sbaglio qualcosa ?
Se così fosse è proprio un genio del male.
WarSide03 Luglio 2020, 09:50 #3
Chi lo ha fatto è un genio del male!!

0.015BTC mi sembrano veramente pochi. Sarà sicuramente un ragazzino

Contando che le multe legate alla violazione del GDPR arrivano fino al 4% del fatturato globale con cap a 20M€, il riscatto potrebbe renderlo dinamico e basato sul fatturato dell'azienda attaccata. Potrebbe chiedere "solo" 1% del fatturato invece di 120 miseri euro
bonzoxxx03 Luglio 2020, 09:51 #4
Originariamente inviato da: Phoenix Fire
ma di solito non si ricatta la gente con le foto porno?


Avrei chiesto MOLTO di più, questi errori grossolani andrebbero fatti pagare cari!
Il fatto di mettere un firewall è utile fino ad un certo punto (i firewall si bypassano) ma il non mettere la password è un errore madornale!!!
Qarboz03 Luglio 2020, 09:57 #5
Originariamente inviato da: Phoenix Fire
ma di solito non si ricatta la gente con le foto porno?


A me, nella mail aziendale arrivano anche "Avviso chiusura account per violazione dei termini" (più o meno) che se non clicco sul link verrà disattivata la mailbox "io@miaazienda.com". A parte il fatto che se mi disattivassero la mail aziendale ne sarei solo che contento, la cosa buffa è che il server di posta è interno all'azienda e gli account sono gestiti dall'IT manager
cata8103 Luglio 2020, 10:01 #6
Bradiper03 Luglio 2020, 10:01 #7
Si ma come fa a denunciare senza esporsi, di becca l azienda giusta di brutta gente gli fanno il pelo e contropelo.
Basta denunciarlo in primis e una denuncia su una denuncia per ricatto e estorsione non vale nulla.
PHØΞИIX03 Luglio 2020, 10:03 #8
Originariamente inviato da: Qarboz
A me, nella mail aziendale arrivano anche "Avviso chiusura account per violazione dei termini" (più o meno) che se non clicco sul link verrà disattivata la mailbox "io@miaazienda.com". A parte il fatto che se mi disattivassero la mail aziendale ne sarei solo che contento, la cosa buffa è che il server di posta è interno all'azienda e gli account sono gestiti dall'IT manager


Concordo! Le mail di phishing sono sempre uno spasso! Penso siano le uniche mail che leggo veramente fino in fondo con interesse
Qarboz03 Luglio 2020, 10:04 #9
Originariamente inviato da: WarSide
Chi lo ha fatto è un genio del male!!

0.015BTC mi sembrano veramente pochi. Sarà sicuramente un ragazzino
Contando che le multe legate alla violazione del GDPR arrivano fino al 4% del fatturato globale con cap a 20M€, il riscatto potrebbe renderlo dinamico e basato sul fatturato dell'azienda attaccata. Potrebbe chiedere "solo" 1% del fatturato invece di 120 miseri euro


Se consideri che sono stati compromessi oltre 22000 installazioni, se solo l'1% paga la somma non è così banale. E poi è più facile che qualcuno paghi 120 euro che p.es. 1200; gli costerebbe meno che tenere ferma l'azienda in attesa del ripristino dei backup
WarSide03 Luglio 2020, 10:06 #10
Originariamente inviato da: Qarboz
Se consideri che sono stati compromessi oltre 22000 installazioni, se solo l'1% paga la somma non è così banale. E poi è più facile che qualcuno paghi 120 euro che p.es. 1200; gli costerebbe meno che tenere ferma l'azienda in attesa del ripristino dei backup


120€ o 1200€ non sono nulla se parliamo di DB di produzione

Il rischio di finire dentro per estorsione, accesso abusivo a sistema informativo & Co non vale certo 120€...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^