Buongiorno cari lettori, oggi parleremo di un hacker che ha eliminato un intero database.
L'hacker ha controllato 250 GB del database NewsBlur e lo ha riscattato prima di eliminarlo.
NewsBlur è una società di software con sede negli Stati Uniti che gestisce un servizio di lettura di notizie RSS online. NewsBlur ha subito un'interruzione del servizio dopo che un hacker ha cancellato il suo database.
Secondo quanto riferito, l'hacker (o script kiddie, come lo chiamava il fondatore di NewsBlur) ha ottenuto l'accesso al suo database quando il lettore RSS stava passando a Docker.
Questo processo ha aggirato alcune regole del firewall ed esposto al pubblico il database MongoDB del servizio . Durante il processo di transizione, il cluster MongoDB primario originale è stato chiuso, quindi è rimasto intatto quando si è verificato l'attacco.
Dichiarazione del fondatore
Secondo il fondatore di NewsBlur Samuel Clay, l'hacker ha agito velocemente e ha copiato l'intero database prima di eliminare quello originale. L'intero processo ha richiesto loro solo tre ore.
VEDI: database esposto di UFO VPN distrutto dagli hacker
“Quando sono passato a un nuovo server MongoDB, un hacker ha cancellato tutti i dati mongo di NewsBlur e ora tiene in ostaggio i dati di NewsBlur. Sto attingendo a un backup di poche ore fa e vi terrò aggiornati", si legge il messaggio del fondatore sulla pagina principale del servizio di newsreader personale.
Clay ha inoltre affermato che l'hacker controllava 250 GB del database e lo ha riscattato prima di eliminarlo.
Dopo che la nostra storia è stata pubblicata, il famoso ricercatore di sicurezza Bob Diachenko ha twittato che:
NewsBlur è tornato online
Subito dopo aver rilevato l'attacco, Clay ha scattato un'istantanea del database principale per ripristinare i servizi NewsBlur e potrebbe riportarlo online circa dieci ore dopo. La società ha tenuto informati i suoi utenti sullo stato del sito tramite Twitter in una serie di aggiornamenti che dicevano :
"Snapshotting è terminato, il backup è stato verificato (woohoo!) e ora il cluster MongoDB si sta sincronizzando. Dovrebbe essere tra circa un'ora e tutto andrà bene".
VEDERE: Western Digital My Book Live HD cancellati a distanza dagli hacker
“E siamo di nuovo in piedi! Ci vorranno un altro paio d'ore prima che il recupero del feed possa essere riavviato, ma tutte le storie fino a 6 ore fa dovrebbero essere lì, pronte per la lettura.
Hacker cancella il database del servizio di newsreader RSS NewsBlur
Modifica del firewall UFW responsabile dell'hacking dei dati?
Samuel Clay ha dichiarato che Docker ha apportato una modifica al firewall UFW, che è responsabile di consentire l'accesso non autorizzato al suo database.
"Quando ho containerizzato MongoDB, Docker ha inserito in modo utile una regola di autorizzazione in iptables, aprendo MongoDB al mondo. Quindi, mentre il mio firewall era 'attivo', […] MongoDB era aperto al mondo”, ha detto Clay.
