Nmedia - Fotolia
MongoDB : des bases de données mal sécurisées prises en otage
Des milliers de bases de données sont la cible de pirates qui menacent d’en effacer les contenus à moins de verser la rançon demandée. Une menace pour laquelle l’alerte avait été lancée il y a longtemps.
Et ce qui devait arriver se produisit. Le 27 décembre dernier, Victor Gevers, chercheur en sécurité, a alerté sur la découverte de bases de données MongoDB exposées sur Internet et commençant à être prises en otage par des attaquants. Avec un message simple : « envoyez 0,2 bitcoin à cette adresse et contactez cette adresse e-mail avec l’adresse IP de votre serveur pour récupérer votre base de données ».
Open MongoDB = Money 4 bad ppl.
— Victor Gevers (@0xDUDE) December 27, 2016
SEND 0.2 BTC TO THIS ADDRESS AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE ! pic.twitter.com/gS4TxS7S09
En date du 3 janvier, près de 2000 instances MongoDB apparaissaient ainsi compromises, selon le fondateur du moteur de recherche spécialisé Shodan, John Matherly. Près d’une vingtaine de victimes auraient déjà payé le pirate à l’origine de cette attaque. Mais d’autres se sont engouffrés dans la brèche en s’attaquent eux aussi aux bases ouvertes à tous les vents, certains demandant désormais des montants plus élevés, mais aussi d’autres plus faibles.
@SteveD3 nearly 2,000 instances affected w/ MongoDB ransomware now: pic.twitter.com/E154ZlLUmI
— John Matherly (@achillean) January 3, 2017
Au 28 décembre dernier, John Matherly relevait plus de 60 000 bases MongoDB accessibles sur Internet, dont 70 % sans authentification.
Et certaines bases de données vulnérables n’ont rien d’anodines. Victor Gevers fait état de l’une d’entre elle comptant près de 900 millions d’enregistrement de métadonnées d’appels téléphoniques.
Une surprise ? Non. En juillet 2015, John Matherly avait tenté d’alerter sur le fait que près de 30 000 instances MongoDB étaient accessibles sur Internet sans que les mécanismes d’authentification ne soient activés. Et ce n’était qu’une piqure de rappel car déjà, au mois de février précédent, trois étudiants de l’université de la Sarre, à Sarrebruck, avaient découvert près de 40 000 bases de données MongoDB librement accessibles en ligne.