Il caso dell'hacker che viola i database e minaccia di denunciare i proprietari per violazione del GDPR
di Riccardo Robecchi pubblicata il 03 Luglio 2020, alle 09:01 nel canale Security
Un hacker sta sistematicamente violando migliaia di istanze di MongoDB, cancellandone i dati locali e lasciando una nota peculiare: "se non pagate il riscatto, vi denuncio alle autorità per violazione del GDPR"
Si potrebbe riassumere nel classico "oltre al danno, la beffa" la situazione che molti amministratori di database MongoDB stanno vivendo: un hacker ha creato uno script automatico per entrare in istanze non protette da password, farne un backup remoto, cancellarle e chiedere un riscatto - con la minaccia di una segnalazione alle autorità per violazione del GDPR nel caso in cui non venga versata la somma richiesta entro due giorni. Una situazione paradossale in cui è il criminale a minacciare una denuncia alle autorità, ma che svela un problema piuttosto grande: quello della disattenzione alla sicurezza.
Chiede riscatto per i dati su MongoDB e minaccia la denuncia per violazione della GDPR
Un hacker sta sistematicamente entrando in migliaia di installazioni di MongoDB lasciate senza password e senza altre protezioni, cancellando i dati e chiedendo un riscatto per restituirli. Non si tratta di una novità assoluta: già in passato era capitato che le istanze di MongoDB venissero prese di mira dagli hacker. L'aspetto interessante della vicenda odierna, riportata da ZDNet, sta nel fatto che il criminale minaccia, nel caso in cui non venga pagato il riscatto di 0,015 bitcoin(circa 120€) entro 24 ore, di denunciare l'accaduto alle autorità per violazione del GDPR.
A essere coinvolti sono 22.900 database MongoDB, ovvero il 47% di quelli raggiungibili pubblicamente online. Un numero particolarmente elevato che evidenzia l'utilizzo di sistemi automatici per entrare nei database e portare avanti l'attività criminale.
Attacchi come questo non sarebbero possibili, però, se venissero seguite alcune semplici pratiche di buonsenso. Il motivo per cui l'hacker è riuscito a entrare in così tanti database è duplice: da un lato c'è il fatto che non c'è una password a proteggere i dati, dall'altro la mancanza di un firewall a protezione del database. Questi due semplici accorgimenti avrebbero facilmente evitato i problemi odierni.
Il problema nasce dunque da una mancanza di attenzione o di competenza, o da errori umani che non vengono poi controllati e corretti. Vengono dunque a mancare le basi per operare un sistema esposto al pubblico. Il consiglio è dunque quello di controllare più attivamente la sicurezza dei propri database, in particolare quando questi sono esposti verso l'esterno, seguendo le migliori pratiche del settore facilmente recuperabili in Rete (anche dal sito ufficiale di MongoDB, ad esempio).
ASUS ExpertBook B3, il notebook aziendale completo per tutte le tasche
Recensione nubia Z70 Ultra: più leggero e più potente. Non sottovalutatelo! 
Amazon Kindle 2024: l'evoluzione sottile ma significativa. Recensione 
Spendere bene i buoni Amazon con le offerte: da 19€ in su, ecco tutti gli sconti imperdibili, aggiornatissimi!
Portatile gaming imperdibile: Lenovo LOQ con GeForce RTX 4060, 16GB RAM e Intel Core i5-13500H, costa solo 949€!
Ultimi pezzi scontati per Echo Dot e Pop (19€): prezzi super, non perdeteveli
29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSe così fosse è proprio un genio del male.
0.015BTC mi sembrano veramente pochi. Sarà sicuramente un ragazzino
Contando che le multe legate alla violazione del GDPR arrivano fino al 4% del fatturato globale con cap a 20M€, il riscatto potrebbe renderlo dinamico e basato sul fatturato dell'azienda attaccata. Potrebbe chiedere "solo" 1% del fatturato invece di 120 miseri euro
Avrei chiesto MOLTO di più, questi errori grossolani andrebbero fatti pagare cari!
Il fatto di mettere un firewall è utile fino ad un certo punto (i firewall si bypassano) ma il non mettere la password è un errore madornale!!!
A me, nella mail aziendale arrivano anche "Avviso chiusura account per violazione dei termini" (più o meno) che se non clicco sul link verrà disattivata la mailbox "io@miaazienda.com". A parte il fatto che se mi disattivassero la mail aziendale ne sarei solo che contento, la cosa buffa è che il server di posta è interno all'azienda e gli account sono gestiti dall'IT manager
https://bitref.com/13JwJDaU3xdNFfcSySFCy95E2Tko18fiyB
Basta denunciarlo in primis e una denuncia su una denuncia per ricatto e estorsione non vale nulla.
Concordo! Le mail di phishing sono sempre uno spasso! Penso siano le uniche mail che leggo veramente fino in fondo con interesse
0.015BTC mi sembrano veramente pochi. Sarà sicuramente un ragazzino
Contando che le multe legate alla violazione del GDPR arrivano fino al 4% del fatturato globale con cap a 20M€, il riscatto potrebbe renderlo dinamico e basato sul fatturato dell'azienda attaccata. Potrebbe chiedere "solo" 1% del fatturato invece di 120 miseri euro
Se consideri che sono stati compromessi oltre 22000 installazioni, se solo l'1% paga la somma non è così banale. E poi è più facile che qualcuno paghi 120 euro che p.es. 1200; gli costerebbe meno che tenere ferma l'azienda in attesa del ripristino dei backup
120€ o 1200€ non sono nulla se parliamo di DB di produzione
Il rischio di finire dentro per estorsione, accesso abusivo a sistema informativo & Co non vale certo 120€...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".