تم مسح حوالي 4000 قاعدة بيانات على الإنترنت بشكل دائم من قبل مهاجم غامض ، دون سبب واضح سوى كونها خاطئة ومكشوفة . المهاجم لا يترك أي ادعاء سوى كلمة Meow ، وفقا لبحث على الإنترنت. بدأ الهجوم الآلي في وقت مبكر من الأسبوع الماضي ليصيب حالتين غير آمنتين من Elasticsearch و MongoDB دون ترك تفسير ، أو حتى ملاحظة فدية. وقال الباحثون إن الهجمات انتشرت بعد ذلك إلى أنواع أخرى من قواعد البيانات وأنظمة الملفات المفتوحة على الويب.

في وقت سابق من هذا الأسبوع ، وجد بحث أجراه باحثون أمنيون في محرك بحث Shodan في البداية عشرات قواعد البيانات التي تأثرت بالهجوم. لكن عدد قواعد البيانات المحذوفة ارتفع بسرعة إلى أكثر من 1800. وقد حفزت هذه الهجمات الباحثين في سباق للعثور على قواعد البيانات المكشوفة وإبلاغ أصحابها بمسؤولية قبل استهدافها من الهجوم الجديد.

كان الباحث Bob Diachenko أول من لاحظ الحملة بعد اكتشاف قاعدة بيانات مهيأة بشكل خاطئ تملكها UFO VPN ومقرها هونج كونج ، والتي تم تدمير تفاصيل مستخدمي VPN الذين خزنتها. اعتبارًا من 1 يوليو 2020 ، اكتشف الباحث بالفعل قاعدة بيانات Elasticsearch التي كشفت سجلات المستخدمين وسجلات الوصول إلى واجهة برمجة التطبيقات على الويب بدون كلمة مرور أو أي مصادقة أخرى مطلوبة للوصول إليها. ونبّه الشركة فور اكتشاف البيانات المكشوفة.

بعد تأمين البيانات ، عادت إلى الظهور مرة أخرى في 20 يوليو على عنوان IP مختلف ، مع مجموعة بيانات أكبر تحتوي على سجلات أحدث. في هذه المرة الثانية ، لم تعد UFO VPN تتلقى إشعارًا جيدًا لحماية بيانات المستخدم وكذلك بيانات الشركة مرة أخرى. وبدلاً من ذلك ، كان المهاجمون أول من اكتشف التعرض ، وتم مسح جميع التسجيلات تقريبًا تاركين عبارة Meow وسلسلة من الأرقام العشوائية وراءها.

سلسلة من الأرقام العشوائية

وتتضمن البيانات التي يتم استبدالها كلمات مرور حساب نصية واضحة ، ورموز مميزة لجلسات VPN ، وعناوين IP لأجهزة المستخدمين وخوادم VPN التي تم الاتصال بها والطوابع الزمنية للاتصال وخصائص الجهاز والنظام أنظمة التشغيل والمجالات الظاهرة التي يتم من خلالها حقن الإعلانات في متصفحات الويب للمستخدمين المجانية وأكثر من ذلك بكثير.

واكتشف الباحثون هذه البيانات بعد أن قال مزود VPN في هونغ كونغ إنه لا يحتفظ بالسجلات على المستخدمين. وقال المتحدث باسم UFO VPN. “في هذا الخادم ، تكون جميع المعلومات التي يتم جمعها مجهولة الهوية ويتم استخدامها فقط لتحليل أداء ومشاكل شبكة المستخدم من أجل تحسين جودة الخدمة. حتى الآن ، لم يتم تسريب معلومات “.

شهد فيكتور جيفيرز ، رئيس مؤسسة GDI غير الربحية الهجوم الجديد. ويدعي أن الممثل يهاجم أيضًا قواعد بيانات MongoDB المكشوفة. ولاحظ الباحث يوم الخميس أن من يقف وراء الهجوم يستهدف على ما يبدو أي قاعدة بيانات غير آمنة ويمكن الوصول إليها عبر الإنترنت.

مواضيع ذات صلة
اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *