venerdì 24 luglio 2020

Il supereroe dei database: attaccante sconosciuto cancella database esposti


Un giustiziere sui generis? Un vigilante? Nessuno riesce a rispondere alla domanda su chi possa essere la fonte della serie di attacchi denominati Meow. Quello che si sa è che c'è qualcuno che, spinto probabilmente dalla volontà di proteggere la privacy degli utenti, attacca e cancella tutti i dati contenuti in database esposti sul web, ovvero privi di meccanismi di protezione. La maggior parte di questi database non prevede nessun meccanismo di autenticazione, quindi chiunque può accedervi tramite una semplice ricerca sul web. 

Questa attività è stata individuata recentemente, pochi giorni fa: inizialmente si concentrava solo su database esposti Elasticsearch e MongoDB, ma si è poi estesa ad altre tipologie di database. L'attaccante non lascia alcuna spiegazione del wiping del database né viene rilasciata alcuna richiesta di riscatto, quindi la serie di attacchi non è a fine estorsivo o ricattatorio. 
Due giorni fa il numero di database esposti attaccati e cancellati ammontava a oltre 1800, 1400 database Elastiscsearch, 390 MongoDb e 54 su Redis: i dati reali però sono sicuramente più alti. Il primo database esposto cancellato da "Meow" è stato individuato oltre 2 settimane fa: apparteneva al provider di servizi VPN Ufo che, pur dichiarando di non tenere alcun log dell'attività degli utenti, non solo ne teneva traccia, ma pure in database esposti. I file di questo database non sono stati cancellati o sovrascritti, questa è la particolarità: al contrario sono stato sostituiti con altri file contenenti nel nome la parola "meow", dalla quale discende il nome dell'attacco. 


Al di là di chi possa essere l'autore dell'attacco e le motivazioni, tecnicamente parlando i ricercatori di sicurezza ipotizzando che alla base di Meow ci sia uno script che automatizza la sovrascrittura / cancellazione dei file. 

Molto probabilmente dietro questi attacchi ci sono buone intenzioni: il problema dei dati esposti online in database insicuri è reale e grave. Da qualche tempo se ne registra un ridimensionamento, ma sono ancora tantissime le informazioni esposte, alcune molto sensibili (ricordate il caso delle immagini diagnostiche esposte sul web?). Si è creato perfino un effetto positivo probabilmente neppure immaginato dal nostro "supereroe dei database": i ricercatori di sicurezza hanno avviato una vera e propria gara a chi individua e segnala più database esposti prima che vengano "meowizzati".

Una lezione piuttosto dura per gli sprovveduti proprietari di questi database: le conseguenze non sono direttamente economiche, ma sicuramente un evento del genere (e anche la perdita dei dati) sono una lezione che rimane in mente. 

Nessun commento:

Posta un commento