En hollandsk sikkerhedsekspert har snuble på Kremls bagdør betragtning, at regeringen havde brugt til at få adgang til de servere, der af lokale og udenlandske virksomheder, der opererer i Rusland.
Bagdør-konto blev fundet i tusindvis af MongoDB databaser, der havde ligget online uden en adgangskode.
Enhver hacker, der lagde mærke til den konto, der kunne have brugt det til at få adgang til følsomme oplysninger fra tusindvis af virksomheder, der opererer i Rusland.
“Den første gang jeg så disse legitimationsoplysninger var i bruger tabellen af en russisk Lotto hjemmeside,” Victor Gevers fortalte ZDNet i et interview i dag. “Jeg var nødt til at gøre nogle grave, til at forstå, at Kreml kræver remote adgang til de systemer, der håndterer finansielle transaktioner.”
Forskeren siger, at efter hans indledende konstatering af, at han senere fandt samme “admin@kremlin.ru” konto på over 2.000 andre MongoDB databaser, der havde ligget online, alle tilhører lokale og udenlandske virksomheder, der opererer i Rusland.
Eksempler omfatter databaser, der tilhører de lokale banker, finansielle institutioner, store teleselskaber, og endda Disney Rusland.
Kreml legitimationsoplysninger, der findes i internet-udsat database af en russisk lotto agentur
Billede: Victor Gevers
Kreml legitimationsoplysninger, der findes i internet-udsat database af Disney Rusland
Billede: Victor Gevers
Gevers selv fundet denne konto inde i en utæt MongoDB database, som tilhører Ukraine, Ministeriet for Indre Anliggender, der var i besiddelse af oplysninger om ERDR undersøgelser, der udføres af landets Almindelige Anklagemyndighed til korrupte politikere.
Denne sidstnævnte tilfælde var meget mærkeligt, fordi på det tidspunkt, den russisk-ukrainske konflikt allerede havde raset i mindst to år.
Kreml legitimationsoplysninger, der findes i internet-udsat database af ukrainske ministerium
Billede: Victor Gevers
Gevers, som på det tidspunkt var Formand for GDI Foundation, er en af verdens top-white-hat hackere. Hans forskning ikke omfatter grave gennem selskaber’ logs for at se, hvad denne konto blev brugt til, så det er i øjeblikket uvist, om den russiske regering har brugt denne konto til at hente den finansielle-relaterede oplysninger eller for de aktivt ændrede data.
“Vi har været på jagt efter åbne MongoDB for år,” Gevers fortalte ZDNet. “Når vi undersøger en MongoDB eksempel, vil vi prøve at respektere privatlivets fred så meget som muligt ved at begrænse søgningen til brødkrummer, som ejerens e-mail-adresser til et minimum.”
“Af alle de systemer, denne adgangskode, som var den allerede var fuldt tilgængelige for alle,” Gevers sagde. “MongoDB databaser blev indsat med standard indstillinger. Så nogen uden autentificering havde CRUD [Create, Read, Update og Delete] adgang.”
“Det tog en masse tid og mange forsøg på at kontakte og advare Kreml om dette problem. Vi fik aldrig igennem, men, tilsyneladende, budskab kom igennem,” forskeren sagde.
“Vi har stadig finde russiske databaser fra virksomheder, men disse oplysninger har ikke været set i de sidste måneder,” sagde han.
Det er uklart, om Kreml skiftet over til at bruge et ikke-beskrivende-konto eller til at bruge pr-virksomhed unikke brugernavne og adgangskoder.
Mens virksomheder, der opererer i Rusland er nødt til at overholde lokale love og give Kreml administration med adgang til nogle af deres finansielle data, for kontrol årsager, bør de sikre, at deres MongoDB databaser er ikke udsat for alle på internettet.
Mere data, brud dækning:
DailyMotion oplyser credential fyld attackMystery stadig omgiver hack af PHP PEAR-websitePopular WordPress plugin hacket af vrede tidligere employeeLocalBitcoins bebrejder brud på forum ‘tredje-parts software’
Online casino gruppe utætheder oplysninger på 108 mio indsatser, herunder bruger-detailsTwitter fejl afsløret private tweets for nogle Android-brugere i næsten fem yearsMassive brud, lækager 773 millioner e-mail adresser, 21 millioner passwords CNET
Marriott afslører brud på datasikkerheden, som påvirker 500 millioner hotellets gæster TechRepublic
Relaterede Emner:
Regeringen
Sikkerhed-TV
Data Management
CXO
Datacentre