MongoDB ออกมายอมรับว่าระบบขององค์กรถูกละเมิด และข้อมูลของลูกค้ารั่วไหลออกไปจากการถูกโจมตีทางไซเบอร์ที่บริษัทตรวจพบเมื่อต้นสัปดาห์นี้

ในอีเมลที่ส่งโดย CISO Lena smart ไปยังลูกค้า MongoDB ระบุว่า บริษัทตรวจพบว่าระบบถูกแฮ็กเมื่อคืนวันพุธ (13 ธันวาคม 2023) และเริ่มดำเนินการตรวจสอบเหตุการณ์ที่เกิดขึ้น

ข้อความในอีเมลจาก MongoDB ระบุว่า "MongoDB กำลังตรวจสอบเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการเข้าถึงระบบองค์กร MongoDB บางแห่งโดยไม่ได้รับอนุญาต รวมถึงข้อมูลบัญชีลูกค้า และข้อมูลการติดต่อ แต่ยังไม่พบว่ามีข้อมูลที่ลูกค้าเก็บไว้ใน MongoDB Atlas รั่วไหล"

บริษัทคาดว่าแฮ็กเกอร์ยังไม่สามารถเข้าถึงข้อมูลลูกค้าใด ๆ ที่จัดเก็บไว้ใน MongoDB Atlas อย่างไรก็ตาม MongoDB ระบุว่า บริษัทยังคงดําเนินการสืบสวน และเชื่อว่าผู้โจมตีสามารถเข้าถึงระบบได้ระยะหนึ่งก่อนที่จะถูกตรวจพบ

ด้วยการรั่วไหลของข้อมูล metadata ของลูกค้า MongoDB แนะนำให้ลูกค้าทุกคนเปิดใช้งาน multi-factor authentication, เปลี่ยนรหัสผ่าน, ระมัดระวังการโจมตีแบบฟิชชิง และ Social Engineering ที่อาจเกิดขึ้น

ในส่วนของคำถามเกี่ยวกับช่องโหว่ที่ถูกใช้ในการโจมตีครั้งนี้ MongoDB ระบุว่ายังคงดำเนินการตรวจสอบเหตุการณ์ด้านความปลอดภัยนี้ และยังไม่มีอัปเดตอะไรเพิ่มเติม โดยบริษัทระบุว่าจะทำการเผยแพร่การอัปเดตเกี่ยวกับช่องโหว่บนหน้าเว็บ MongoDB Alerts ซึ่งใช้เพื่อเผยแพร่การอัปเดตเกี่ยวกับการหยุดทํางาน และเหตุการณ์อื่น ๆ

Indicators of Compromise (IOCs)

107[.]150[.]22[.]47
138[.]199[.]6[.]199
146[.]70[.]187[.]157
179[.]43[.]189[.]85
185[.]156[.]46[.]165
198[.]44[.]136[.]69
198[.]44[.]136[.]71
198[.]44[.]140[.]133
198[.]44[.]140[.]199
199[.]116[.]118[.]207
206[.]217[.]205[.]88
66[.]63[.]167[.]152
66[.]63[.]167[.]154
87[.]249[.]134[.]10
96[.]44[.]191[.]132

ที่มา : https://www.

แฮกเกอร์ทำการอัปโหลดโน๊ตเรียกค่าไถ่บนฐานข้อมูล MongoDB จำนวน 22,900 แห่งที่สามารถเข้าได้ถึงจากอินเตอร์เน็ตโดยไม่ต้องใช้รหัสผ่าน ซึ่งคิดเป็นจำนวนประมาณ 47% ของฐานข้อมูล MongoDB ที่พบการเข้าถึงได้จากอินเตอร์เน็ต

Victor Gevers นักวิจัยด้านความปลอดภัยจาก GDI Foundation ได้กล่าวว่าการข่มขู่เรียกค่าไถ่นั้นเกิดขึ้นช่วงต้นเดือนเมษายนที่ผ่านมา กลุ่มแฮกเกอร์จะทำการใช้สคริปต์ในการค้นหาและเพื่อเเสกนฐานข้อมูล MongoDB ที่ทำการตั้งค่าผิดพลาด หลังจากเจอเป้าหมายกลุ่มแฮกเกอร์จะทำการทิ้งโน๊ตเรียกค่าไถ่เป็นจำนวนเงิน 0.015 bitcoin หรือ ประมาณ 4,358 บาท โดยให้เวลาจ่ายค่าไถ่เป็นเวลา 2 วัน ถ้าเกิดเหยื่อไม่ทำการจ่ายเงินกลุ่มแฮกเกอร์จะทำการส่งเรื่องว่าเกิดข้อมูลรั่วไหลต่อหน่วยงาน General Data Protection Regulation (GDPR) ซึ่งเป็นหน่วยงานที่ดูเเลและป้องกันการรั่วไหลของข้อมูลสหภาพยุโรป

ข้อเเนะนำ
ผู้ดูเเลระบบควรทำการตรวจสอบฐานข้อมูลของท่าน ว่าสามารถเข้าถึงฐานข้อมูลจากอินเตอร์เน็ตและมีการใช้รหัสผ่านหรือไม่ เพื่อป้องกันผู้ไม่หวังดีใช้ประโยชน์จากการตั้งค่าที่ผิดพลาดเข้าถึงฐานข้อมูล

ที่มา: zdnet

แฮกเกอร์ปล่อยข้อมูลผู้ใช้งาน Lumin PDF บนเว็บไซต์ใต้ดินกว่า 24.3 ล้านคน ผู้ใช้งานควรถอนสิทธิ์ออกจาก Google Drive ก่อนถูกแฮก

ZDNet ได้รับแจ้งจากแหล่งข่าวว่ามีแฮกเกอร์ปล่อยข้อมูลผู้ใช้งาน Lumin PDF บนเว็บไซต์ใต้ดินกว่า 24.3 ล้านคน โดยแฮกเกอร์กล่าวว่าตัดสินใจปล่อยข้อมูลผู้ใช้งานเนื่องจากพยายามติดต่อไปยังผู้ดูแล Lumin PDF หลายครั้งแต่ไม่ได้รับการตอบรับ

โดยเแฮกเกอร์พบฐานข้อมูล MongoDB ของ Lumin PDF ที่ไม่มีการตั้งรหัสผ่านตั้งแต่ช่วงเดือนเมษายน 2019 เขาอ้างว่าพยายามติดต่อ Lumin PDF หลายครั้งแต่ไม่ได้รับการตอบรับ และในเวลาถัดมาเขาพบว่าฐานข้อมูลถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่

Lumin PDF เป็นบริการที่ให้ผู้ใช้งานดู แก้ไข และแชร์ PDF ผ่านหน้าเว็บ, browser extension, mobile apps และเป็นหนึ่งในแอปที่ให้บริการใน Google Drive

ข้อมูลที่แฮกเกอร์ปล่อยออกมาประกอบไปด้วย ชื่อนามสกุลของผู้ใช้งาน อีเมล เพศ ภาษาในการตั้งค่านอกจากนั้นสำหรับผู้ใช้งานที่สมัครผ่านเว็บไซต์ Lumin PDF ข้อมูลที่ถูกปล่อยคือรหัสผ่านที่แฮชด้วย Bcrypt แต่สำหรับผู้ที่ใช้งานผ่าน Google Drive ข้อมูลที่ถูกปล่อยคือ Google access token

ซึ่งผู้ไม่หวังดีสามารถใช้ Google access token ปลอมเป็นผู้ใช้งานตาม Google access token นั้นๆ และเข้าถึง Google Drive ได้

เพื่อป้องกันตัวจากความเสี่ยงที่จะถูกใช้ Google access token ที่อาจจะรั่วไหล แนะนำให้ผู้ใช้งานทำการถอด Lumin PDF ไม่ให้เข้าถึง Google Drive ได้ตามขั้นตอนต่อไปนี้

เข้า drive.

OCR Software ที่กำลังพัฒนาของ Abbyy ทำข้อมูลเอกสารลูกค้าจำนวน 200,000 ฉบับรั่วไหล เนื่องจากฐานข้อมูล MongoDB มีการรักษาความปลอดภัยไม่เพียงพอ

เมื่อวันที่ 19 สิงหาคม นักวิจัย Bob Diachenko ได้ค้นพบฐานข้อมูล MongoDB มีการตั้งค่าที่ผิดพลาดบนแพลตฟอร์มระบบคลาวด์ Amazon Web Services (AWS) มีขนาด 142GB และอนุญาตให้เข้าถึงได้โดยไม่ต้องเข้าสู่ระบบ ทำให้ผู้บุกรุกสามารถเข้าถึงไฟล์ลูกค้าได้

ฐานข้อมูลเก็บเอกสารที่สแกนโดยมีข้อมูลสำคัญ ได้แก่ สัญญาข้อตกลง ข้อมูลจดหมายภายในและบันทึกช่วยจำ รวมถึงไฟล์มากกว่า 200,000 ไฟล์ของลูกค้า Abbyy ที่สแกนข้อมูลและเก็บไว้ในระบบพร้อมใช้งานในระบบคลาวด์ หลักฐานบ่งบอกว่าฐานข้อมูลเป็นของ Abbyy มาจากชุดเอกสารที่มีชื่อผู้ใช้งาน Abbyy อยู่ในรูปแบบที่อยู่อีเมลของบริษัท และรหัสผ่านที่เข้ารหัส โดยกลุ่มลูกค้าของ Abbyy ชื่อดังมีอยู่ในหลายภาคส่วนเช่น Volkswagen, Deloitte, PwC, PepsiCo, Sberbank, McDonald's

Diachenko กล่าวว่าสองวันหลังจากการแจ้งเตือนของเขา ทีมรักษาความปลอดภัยที่ Abbyy ได้ทำการปิดการเข้าถึงข้อมูลดังกล่าวแล้ว

ที่มา: BLEEPINGCOMPUTER

ฐานข้อมูล MongoDB ถูกเปิดเผยข้อมูลทางออนไลน์ ซึ่งมีข้อมูลสุขภาพของผู้ป่วย 2 ล้านคนในเม็กซิโก เช่น ชื่อ เพศ วันเดือนปีเกิด ข้อมูลการประกันสถานะความพิการและที่อยู่

ฐานข้อมูลถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Bob Diachenko ผ่านทาง Shodan ซึ่งเป็นเครื่องมือค้นหาอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตทั้งหมด โดยพบว่าฐานข้อมูลนี้ถูกเปิดเผยบนอินเทอร์เน็ต สามารถเข้าถึงและแก้ไขได้แม้ไม่มีรหัสผ่าน

หลังจากการวิเคราะห์ฐานข้อมูล นักวิจัยสามารถค้นหาฟิลด์ที่มีที่อยู่อีเมลของผู้ดูแลระบบได้ อีเมลเหล่านี้มีโดเมนของ hovahealth.

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Kromtech เผยผลการทดสอบความเร็วในการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีเป้าหมายโจมตีเซิร์ฟเวอร์ MongoDB ที่มีช่องโหว่ ค้นพบว่ามัลแวร์ใช้เวลาเพียงแค่ 3 ชั่วโมงในการค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่และอีก 13 วินาทีเพื่อลบฐานข้อมูล

ปัญหาหลักของเซิร์ฟเวอร์ MongoDB โดยส่วนมากนั้นมีที่มาจากการตั้งค่าที่ไม่ปลอดภัยซึ่งมักจะถูกตั้งค่ามาทันทีที่เริ่มติดตั้งและมีการใช้งาน บริการ Shodan ตรวจพบเซิร์ฟเวอร์ MongoDB กว่า 30,000 รายที่ยังคงมีความเสี่ยงที่จะถูกโจมตีและได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่

รูปแบบการโจมตีที่แฮกเกอร์ดำเนินการนั้น ทันทีที่แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้จากระยะไกล แฮกเกอร์จะทำการลบฐานข้อมูลรวมไปถึงไฟล์บันทึกการเข้าถึงต่างๆ เพื่อลบร่องรอยตัวเอง หลังจากนั้นแฮกเกอร์จะทำการสร้างฐานข้อมูลใหม่เพื่อแจ้งให้ผู้ใช้งานทราบและเรียงร้องค่าไถ่

Recommendation : การป้องกันในเบื้องต้นนั้น แนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการตั้งค่าระบบตาม Security Best Practices (https://www.

การโจมตีเพื่อเรียกค่าไถ่กับฐานข้อมูล MongoDB ละลอกใหม่ โดยนักวิจัยเรียกการโจมตีนี้ว่า “MongoDB Apocalypse” โดยจะทำการสแกนในอินเตอร์เพื่อค้นหาฐานข้อมูล MongoDB ที่อนุญาตให้มีการเชื่อมต่อจากภายนอกได้ แล้วทำการลบข้อมูลและแทนที่ด้วยข้อความเรียกค่าไถ่ ณ ปัจจุบันมีฐานข้อมูลที่โดนโจมตีมากถึง 45,000 แห่ง และยังแพร่กระจายไปยังเทคโนโลยีเซิร์ฟเวอร์อื่นๆ เช่น ElasticSearch, Hadoop, CouchDB, Cassandra และเซิร์ฟเวอร์ MySQL ปัจจุบันมีกลุ่มใหม่ 3 กลุ่มปรากฏในการโจมตีละลอกใหม่และทำให้เกิดผู้เสียหายรวมแล้วมากถึง 26,000 รายโดยมี Email address ดังนี้
1. cru3lty@safe-mail.

Chris Vickery นักวิจัยทางด้านความปลอดภัยได้ออกมาเปิดเผยถึงช่องโหว่บนเว็บไซต์ Microsoft Career ในส่วนที่เป็น Mobile Site ว่ามีการตั้งค่าของ MongoDB ที่ไม่ปลอดภัยเพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลที่บันทึกอยู่ภายใน MongoDB ได้โดยไม่ต้องมีการยืนยันตัวตนแต่อย่างใด อีกทั้งยังสามารถเขียนข้อมูลลงไปเพื่อทำการแก้ไขได้อีกด้วย ส่งผลให้การส่งข้อมูล HTML ที่สร้างขึ้นมาเพื่อทำการโจมตีโดยเฉพาะ ประสบความสำเร็จได้ และนำไปสู่การโจมตีแบบ Watering Hole ต่อไป

ทาง Chris Vickery ได้ทำการแจ้งไปยังทีมงาน Punchkick ผู้รับผิดชอบงานดูแลระบบนี้ให้กับ Microsoft เพื่อทำการแก้ไขช่องโหว่ไปเรียบร้อยแล้ว และ Punchkick เองก็ไม่ได้ดูแลเพียงเว็บนี้เว็บเดียวเท่านั้น แต่มีเว็บอื่นๆ อีกจำนวนมากด้วย ในขณะเดียวกันงานวิจัยอื่นๆ ก็ชี้ว่าไม่ได้มีแต่ MongoDB เท่านั้นที่มีปัญหาเรื่องการตั้งค่าใช้งานอย่างไม่ปลอดภัย แต่ Redis, CouchDB, Cassandra และ Riak เองก็เช่นกัน

ที่มา : NetworkWorld