15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες
infosec

15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες

Νωρίτερα αυτόν τον μήνα, η Google απομάκρυνε 85 κακόβουλες εφαρμογές από το Google Play Store. Ειδικότερα, μία παράνομη adware εφαρμογή...
Read More
infosec

Facebook «10 Year Challenge»: Κινδυνεύουν πράγματι τα δεδομένα σας;

Το τελευταίο διάστημα όλοι παρατηρήσαμε το νέο trend «10-Year Challenge» σε Facebook και Instagram. Αφού έγινε η νέα τάση ανάμεσα...
Read More
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
Latest Posts

MongoDB: Big data εκτεθειμένα στον Ελληνικό κυβερνοχώρο

Τα τελευταία 24ώρα έχουν αυξηθεί παγκοσμίως τα κρούσματα επιθέσεων από hackers και κυβερνοεγκληματίες σε πάνω από 10000 συστήματα που χρησιμοποιούν το λογισμικό βάσης δεδομένων MongoDB.

mongodb

Μόλις οι κυβερνοεγκληματίες αποκτούν πρόσβαση στις βάσεις, πραγματοποιούν πλήρη διαγραφή της και αφήνουν σημείωμα, όπου ενημερώνουν το θύμα τους ότι για να επανέλθει η βάση στην προηγούμενη κατάσταση πρέπει να πληρώσει απο 150$ έως 500$, ανάλογα με την περίπτωση.

Ερευνητές ασφάλειας που πραγματοποίησαν στατιστική ανάλυση των επιθέσεων, κατέληξαν στο συμπέρασμα ότι μέχρι αυτή την στιγμή έχει χτυπηθεί περίπου το 25% των προσβάσιμων μέσω Internet βάσεων Mongo. Η επίθεση πραγματοποιείται επειδή οι διαχειριστές αφήνουν τον λογαριασμό διαχειριστή (Administrator) των βάσεων δεδομένων τους χωρίς κωδικό! -SHIT- (password less).

 

Η ερευνητική ομάδα του SecNews, πραγματοποίησε εδώ και 6 ημέρες, ενδελεχή έρευνα και καταγραφη των εκτεθειμένων βάσεων δεδομένων MongoDB στον Ελληνικό κυβερνοχώρο. Τα ευρήματα θα σας καταπλήξουν!

Όπως διαπιστώσαμε μεταξύ των εκτεθειμένων βάσεων δεδομένων υπάρχουν:

  • Στοιχεία Εφαρμογών παρακολούθησης  χρηστών του Twitter, για λόγους που δεν γνωρίζουμε, απο ερευνητικά ιδρύματα και ινστιτούτα που εστιάζουν στο social media monitoring.
  • Στοιχεία ποσοστών Ελληνικών κομμάτων στις εκλογές που έχουν διατεθεί σε ερευνητικά ιδρύματα (πανεπιστήμια)
  • Σύστημα εισροών εκροών πρατηρίων
  • Δεδομένα πολιτών σε βάση δεδομένων εταιρείας ηλεκτρικής ενέργειας
  • Πλήθος δεδομένων άγνωστου σημαντικότητας, που είναι εκτεθειμένα στην υπηρεσία Cloud του GRNET (Δίκτυο Πανεπιστημίων)
  • Δεδομένα απο Ερευνητικά Κέντρα, Ιδρύματα Τεχνολογίας και Πανεπιστήμια
  • Δεδομένα εταιρειών Hosting ή πελατών τους
  • Λοιπά Εταιρικά δεδομένα

… και πολλά άλλα που δεν έχουμε ακόμα προλάβει να διερευνήσουμε/ταυτοποιήσουμε!

Αποφασίσαμε να δημοσιοποιήσουμε τα ευρήματα της έρευνας  εδώ:

Μπορείτε να συμπληρώσετε με comments στο έγγραφο που δημοσιεύουμε περισσότερες πληροφορίες αναφορικά με πρόσθετα ευρήματα καθώς και να πραγματοποιήσετε τις δικές σας αναφορές εφόσον εντοπίσετε κάτι άκρως σημαντικό και κυρίως ΝΑ ενημερώσετε τους διαχειριστές των συστημάτων για να προστατευτούν!

Όπως διαπιστώσαμε κατά την ερευνά μας, ο καθένας με χαμηλό επίπεδο τεχνογνωσίας, με χρηση του εργαλειου Robomongo σε συνδυασμό με το Kali linux & το NOSQL Exploitation Framework  μπορεί να αντλήσει στοιχεία απο τις παραπάνω βάσεις δεδομένων – πολλές φορές και ευαίσθητα δεδομένα- με εξαιρετική ευκολία!

Οι λόγοι της δημοσιοποίησης είναι καταρχήν η προστασία των κρίσιμων υποδομών στην Ελλάδα απο τις επιθέσεις των τελευταίων ημερών στις ΜongoDB βάσεις δεδομένων. Επιπλέον δημοσιοποιούμε τα παραπάνω ευρήματα, για την προστασία του κοινωνικού συνόλου αλλά και των υποδομών εταιρειών που πιθανόν έχουν εκτεθειμένα στοιχεία πελατών ή πολιτών στο διαδίκτυο.

Όσοι διαχειριστές συστημάτων ή εταιρείες αναγνωρίζουν τις μοναδικές IP διευθύνσεις τους στον πίνακα που δημοσιεύουμε οφείλουν ΑΜΕΣΑ να εφαρμόσουν τις οδηγίες που ανακοίνωσε ο προμηθευτής MongoDB εδώ:

https://www.mongodb.com/blog/post/how-to-avoid-a-malicious-attack-that-ransoms-your-data

Σε κάθε άλλη περίπτωση θέτουν τα δεδομένα πελατών τους ή εταιρειών σε ΑΜΕΣΟ κίνδυνο τις επόμενες ημέρες ή ώρες.

Update 1 – [10/1/2017 – 00:38]: Ήδη πολλές βάσεις δεδομένων απο τις προαναφερόμενες, έχουν πέσει θύμα του Ransomware που αναφέρουμε. Μόλις μας ενημέρωσαν για κρούσματα στην Ελλάδα, με τους διαχειριστές να πρέπει να πληρώσουν σημαντικά χρηματικά ποσα για να επαναφέρουν τα δεδομένα τους!

Update 2 – [10/1/2017 – 01:2o] Στοιχεία για τους κυβερνοεγκληματίες που κρυπτογραφούν βάσεις δεδομένων MongoDB τις τελευταίες ώρες μπορείτε να βρείτε στον σύνδεσμο [εδώ] ώστε να γνωρίζετε όσα στοιχεία είναι διαθέσιμα για αυτούς.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *