De russiske myndigheder har som følge af manglende adgangskontrol ladet internationale og russiske virksomheders data være pivåbne på internettet i mere end 3 år.
Det skriver det britiske site silicon.co.uk.
Russiske myndigheder kræver adgang til virksomhedssystemer, der håndterer finansielle transaktioner, og de russiske myndigheder har genanvendt de samme adgangs-credentials til tusindvis af MongoDB, der kan tilgås via internettet.
Ifølge den hollandske sikkerhedsforsker Victor Gevers blev brugernavnet admin@kremlin.ru anvendt til at få adgang til de mange MongoDB.
Der var ikke knyttet noget password til admin@kremlin.ru.
Ja, du læste rigtigt: Der var ikke noget password.
Russiske og internationale virksomheder
Det drejer sig om både russiske virksomheders data samt internationale virksomheder med kontorer i Rusland, der på den måde har fået deres data eksponeret i en sådan grad, at det nærmest er utænkeligt, at data ikke er blevet indsamlet af en eller flere hackere, efterretningstjenester eller kriminelle organisationer.
Det drejer sig om lokale banker, finansielle institutioner, store televirksomheder, Disney Russia og en lang række andre russiske og internationale virksomheder.
Eksempelvis var den store russiske televirksomhed TTK også blandt de ramte. Ifølge silicon.co.uk var TTK's netværksoperationscenter (Network Operations Center) og sikkerhedssystemer (Security Information and Event Management) også påvirket, men det er ikke er klart, hvordan eksponeringen af finansielle data i en MongoDB kan påvirke sikkerhedssystemer.
Ifølge Victor Gevers, der er tidligere formand for GDI.Foundation, som arbejder for et frit og sikkert internet, blev admin@kremlin.ru af uransagelige grunde også anvendt i en MongoDB hørende under det ukrainske indenrigsminsterium.
Den database indeholdt data, som blev brugt i efterforskningen af korruption blandt ukrainske politikere. Ukraine og Rusland har længe været i konflikt om Krim-halvøen .
Opdagede sårbare MongoDB i 2015
Victor Gevers kontaktede de russiske myndigheder om de ubeskyttede data helt tilbage i 2015, men det er først nu, at han fortæller om de ubeskyttede russiske MongoDB.
Som han skriver i et tweet:
»Det tog 3 år, 5 måneder og 15 dage at fikse eftervirkningerne af lækkede credentials fra Responsible disclosure #4155. Nogle sikkerhedsbrister behøver ikke at være store (som i antallet af records, der bliver eksponeret) for at have en betydelig indvirkning, som kan tage flere år at fikse.«
But also American companies operating on Russian soil like for example @Disney (RD#4790) which needed to be under governmental control was remotely accessed w the same credentials. And these were accidentally leaked by companies who had no idea who 2 run a MongoDB server securely pic.twitter.com/Y7zyn1GWD3
— Victor Gevers (@0xDUDE) 27. januar 2019
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
