MongoDB es una empresa que resultará desconocida para la mayoría de lectores, pero compañías como Telefónica, Amazon, Vodafone y Arsys confían en ella para guardar sus bases de datos. Ahora, toda la información almacenada mediante este sistema gratuito y de código abierto está en peligro: una serie de ataques de ‘ransomware’ ya ha afectado a 27.000 de sus servidores, un cuarto del total. Los atacantes han aprovechado una mala configuración para secuestrar los datos —en ocasiones borrándolos durante el proceso— y solicitar hasta 500 dólares de rescate.
Todo comenzó el pasado 21 de diciembre, cuando Victor Gevers, un ‘hacker’ de la fundación GDI —cuyo objetivo es velar por la seguridad de internet—, descubrió junto a su compañero Niall Merrigan el primer caso. Una institución financiera había perdido toda la información de su base de datos, y atrás sólo había quedado un mensaje: “Envíen 0,2 bitcoins [unos 170 euros] para recuperar sus datos”. El problema no hacía más que empezar; en estos momentos el número de bases de datos afectadas ya roza los 30.000.
“Se han ‘limpiado’ más de 100 terabytes de información de varios años”, explica a Teknautas Gevers, que lleva tiempo alertando del peligro. Administraciones, minoristas, datos financieros y de investigación, archivos médicos, industria tecnológica, juegos ‘online’, cuentas de usuario, propiedad intelectual, webs de citas… “MongoDB está en todas partes”. Pero no todas sus bases están en peligro: el fundador de la comunidad española de apasionados por este sistema, César Trigo, asegura que sólo aquellos bancos de datos que no estén securizados por defecto —sin contraseña— son vulnerables.
MongoDB cuenta con productos de pago y otros gratuitos. Son estos últimos los que carecen de seguridad por defecto y, por lo tanto, están expuestos a los ataques. “En España hay 405 bases de datos que podrían ser atacadas en pocos minutos”, asegura Gevers. En todo el mundo el número asciende hasta las 65.000 bases de datos.
Trigo nos resume lo poco que MongoDB ha compartido hasta ahora sobre el ‘hackeo’. Todo comenzó con un primer atacante, probablemente sólo una persona: “Ahora mismo son tres, no se sabe si grupos o personas. Por la simplicidad parecen individuos, pero están intentado reclutar más gente”. Mediante el servicio Shodan, capaz de buscar dispositivos conectados, encuentran aquellas bases de datos desprotegidas.
El número de ataques implica automatización: “Han creado ‘scripts’ con los que se conectan a las bases de datos, hacen una copia, la borran, y secuestran la información. Además envían un correo electrónico en el que solicitan unos 170 euros de rescate”. Trigo añade que ahora mismo existe una batalla entre los atacantes: algunas compañías pagan el rescate, recuperan los datos, y posteriormente otro ‘hacker’ los vuelve a robar.
“No tenemos evidencia de que todas las víctimas vayan a recuperar sus datos”, lamenta Gevers. El responsable técnico de la empresa de seguridad Enigmedia, Carlos Tomás, culpa a los clientes que no han configurado adecuadamente el sistema, pero sobre todo a MongoDB: “Los fabricantes tienen que acostumbrarse a que las configuraciones por defecto no sean inseguras”.
“No tienen forma de pararlo. El ‘software’ está instalado en el cliente final y aunque MongoDB sacara una actualización para cambiar esas configuraciones por defecto, sería el usuario el que tendría que instalarlas”, comenta Tomás. Una vez, robada la información, la única salvación es que existan copias de seguridad.
Según Trigo, el problema principal es que todavía no se ha conseguido detener este ataque masivo, que todavía está siendo investigado. El experto recomienda revisar los últimos accesos a las infraestructuras e incrementar la frecuencia de las copias de seguridad. MongoDB, por su parte, ha recordado sus directrices para asegurar la protección y mitigar los daños. Mientras tanto, miles de bases de datos siguen en peligro.
El Confidencial (10/01/2017)
http://www.elconfidencial.com/tecnologia/2017-01-10/mongodb-hackers-ataque-informatico-bases-datos-servidores_1314168/