W ciągu ostatnich dwóch tygodni hacker włamywał się na serwery Elasticsearch, które były dostępne w internecie bez żadnego zabezpieczenie a następnie wymazywał wszystkie zgromadzone na nich dane. Po sobie pozostawił wyłącznie straty finansowe… oraz nazwę firmy specjalizującej się z bezpieczeństwie IT.
Wiele wskazuje na to, że atak został przeprowadzony z wykorzystaniem skryptu automatyzacji, który skanuje internet w poszukiwaniu niezabezpieczonych systemów ElasticSearch. Co dzieje się dalej? Skrypt łączy się z bazą, wymazuje wszystkie dane i tworzy nowy pusty index o nazwie nightlionsecurity.com. Co ciekawe, ta operacja nie jest skuteczna na wszystkich wyszukanych urządzeniach – jednak pusty index zostaje utworzony również w bazach, które nie udało się przestępcy wyczyścić.
Wmieszani w całą sprawę…
Firma Night Lion Security zaprzecza, że jest w jakikolwiek sposób odpowiedzialna za atak. Jej założyciel, Vinny Troia w wywiadzie dla DataBreaches.net stwierdził, że o atak podejrzewa hackera którego śledził przez cały poprzedni rok (bohatera jego nowej książki). Zemsta?
Skala ataku
Choć początkowo atak dotknął tylko 150 serwerów ElasticSearch, na dzień dzisiejszy ta liczba jest dużo większe – dokładnie chodzi o ponad 15 tys. urządzeń. Według wyników BinaryEdge w internecie można wyszukać obecnie 34 500 serwerów ElasticSearch. Sprawa staje się więc coraz poważniejsza.