Неизвестный хакер стер базу данных популярного RSS-ридера NewsBlur, а затем потребовал у разработчиков выкуп в обмен на доступ к данным.
Holy moly, when I switched to a new Mongo DB server, a hacker deleted all of NewsBlur’s mongo data and is now holding NewsBlur’s data hostage. I’m dipping into a backup from a few hours ago and will keep you all updated.
— NewsBlur (@NewsBlur) June 24, 2021
Инцидент произошел на прошлой неделе и в настоящее время уже успешно разрешился, так как сотрудники NewsBlur сумели восстановить базу данных из резервной копии, которая, к счастью, была у них под рукой.
Согласно сообщению, которое появлялось на главной странице сайта компании, атака затронула серверы MongoDB и одну из пяти БД, которые использовала компания. При этом основатель NewsBlur Сэмюэл Клей писал, что БД была уничтожен из-за ошибки брандмауэра, и произошло это по его вине, во время плановой миграции базы данных.
«Примерно за два часа до [атаки] я переключил кластер MongoDB на новые серверы, — рассказал Клэй на HackerNews. — Оказывается, брандмауэр ufw, который я включил и умышленно ограничил строгим списком разрешений, куда входили только мои внутренние серверы, не работал на новом сервере из-за Docker. Когда я поместил MongoDB в контейнер, Docker любезно вставил разрешающее правило в iptables, открыв MongoDB для всего мира».
Клей уверен, что именно это обстоятельство позволило хакеру получить доступ к серверу, стереть его содержимое и оставить после себя записку с требованием выкупа. Причем злоумышленнику потребовалось всего три часа, чтобы обнаружить доступную базу MongoDB, случайно оказавшуюся в сети.
Напомню, что всего несколько лет назад взломы MongoDB и требование выкупа были весьма популярной среди злоумышленников тактикой. Так, к середине 2017 года злоумышленники взломали уже более 45 000 баз данных, причем в какой-то момент помимо MongoDB они также стали интересоваться ElasticSearch, Hadoop, CouchDB, Cassandra и MySQL.
Хотя оригинальные хакерские группы, практиковавшие такие атаки в 2016-2017 годах, остановились спустя всего несколько месяцев, так как захват БД «в заложники» почти не приносил им денег, эксперты еще долго обнаруживали все новых участников атак, которые тоже решили попробовать себя в вымогательстве.
