Взломщики атаковали один из старейших книжных магазинов Мексики, удалив базу данных с информацией о 1,2 млн покупок и личными данными почти 1 млн пользователей. За возвращение информации злоумышленники потребовали с компании выкуп в 0,05 Btc (чуть больше 38 тыс. руб. по курсу на момент написания статьи).
Атака оказалась успешной из-за того, что администраторы Librería Porrúa оставили незащищенной базу данных под управлением MongoDB. За три дня до инцидента эту базу обнаружили с помощью Shodan исследователь Боб Дьяченко (Bob Diachenko) и специалисты Comparitech. Подключиться к ней и управлять данными мог абсолютно любой пользователь, поскольку сотрудники магазина не подключили механизм аутентификации. Проблему усугублял тот факт, что хранилище было доступно сразу по двум IP-адресам — это упрощало его обнаружение.
Эксперты сообщили компании о возможности утечки, однако сотрудники Librería Porrúa не успели отреагировать. Через три дня после обнаружения открытой базы данных преступники удалили все ее содержимое и оставили сообщение с требованием выкупа. Прошло еще около суток, прежде чем хранилище исключили из публичного доступа.
Пострадали коммерческие записи Librería Porrúa: инвойсы с подробностями покупок, хешированные данные платежных карт, коды активации, токены, имена и контактные данные покупателей. Также в базе находилась информация о клиентах магазина: полные имена, даты их рождения и прочие личные сведения.
Специалисты отмечают, что простым сложением этих цифр невозможно установить реальное число пострадавших пользователей — в некоторых случаях данные пересекаются. Так или иначе, покупатели, чьи данные находились в базе, могут стать мишенью спамеров и фишеров. Большой объем личной информации позволит злоумышленникам тщательно планировать такие атаки. Кроме того, эксперты призывают клиентов Librería Porrúa внимательно читать письма от лица магазина — вполне возможно, что такие сообщения будут поступать от преступников.
Получили ли преступники выкуп и удалось ли восстановить удаленные данные, неизвестно. Представители пострадавшей компании воздерживаются от комментариев по поводу инцидента.
Магазин Librería Porrúa открылся в 1910 году и сегодня объединяет более 60 филиалов по всей Мексике. Онлайн-версия магазина появилась сравнительно недавно.
Вымогательские атаки на базы данных MongoDB продолжаются по меньшей мере с 2016 года. При этом преступники не слишком беспокоятся о выполнении своей части сделки и зачастую просто удаляют данные без возможности восстановления.
Угроза не обошла стороной и российские организации. В апреле взломщики выложили в Интернет данные подмосковных пациентов скорой помощи с нескольких подмосковных станций. В базе объемом около 18 Гб были указаны их контактные данные и медицинские заключения по итогам вызовов.
Источник: https://threatpost.ru/libreria-porrua-mongodb-database-wiped/33698/