Cuộc tấn công được phát hiện bởi nhà nghiên cứu Bob Diachenko ngày 21/7 khi phát hiện cơ sở dữ liệu của UFO VPN - dịch vụ truy cập mạng riêng ảo (VPN) đến từ Hong Kong, bị tin tặc xâm nhập.
Dữ liệu bị tấn công chứa các thông tin nhạy cảm như mật khẩu đăng nhập bằng văn bản thô, token truy cập VPN, địa chỉ IP trên máy người dùng và máy chủ VPN, thời gian kết nối, vị trí, thông tin thiết bị và hệ điều hành, tên miền quảng cáo hiện ra với người dùng miễn phí.
Cuộc tấn công "Meow" khiến hơn 1.000 cơ sở dữ liệu không được bảo mật bị hacker xóa sạch. Ảnh: Bleeping Computer. |
Không chỉ vi phạm quyền riêng tư nghiêm trọng, cơ sở dữ liệu bị tấn công còn tiết lộ UFO VPN đã không thực hiện đúng cam kết khi vẫn lưu lịch sử duyệt web và địa chỉ IP của người dùng.
Nhà phát triển UFO VPN đã tăng cường bảo mật cho cơ sở dữ liệu vào ngày 15/7, tuy nhiên đến 21/7, chúng đã bị xóa sạch trong cuộc tấn công "Meow".
Sau khi xâm nhập vào dữ liệu của UFO VPN, cuộc tấn công "Meow" tiếp tục nhắm đến các hệ thống kém bảo mật khác, phá hủy hơn 1.000 cơ sở dữ liệu.
Đến thời điểm viết bài, website tìm kiếm máy tính Shodan ghi nhận 987 cơ sở dữ liệu thuộc trang tìm kiếm ElasticSearch và 70 cơ sở dữ liệu của phần mềm MongoDB bị tấn công.
Đối với MongoDB, đây là lần thứ 3 dịch vụ này bị tấn công trong tháng. Lần đầu tiên là vào ngày 2/7 khi cơ sở dữ liệu của MongoDB bị hack, lần thứ 2 là ngày 10/7 với 188 triệu dữ liệu người dùng bị rò rỉ.
Một vụ tấn công khác đã thêm vào cuối tên 616 file dữ liệu của ElasticSearch, MongoDB và Cassandra dòng chữ "university_cybersec_experiment". Theo Ars Technica, dường như mục đích tấn công của hacker chỉ nhằm chứng minh hệ thống bảo mật của các dịch vụ trên rất kém hiệu quả.
Tất nhiên, đây không phải lần đầu các cơ sở dữ liệu không được bảo mật bị hacker tấn công, đặc biệt khi chúng được lưu trên các dịch vụ đám mây của Amazon, Microsoft...
Trong một số trường hợp, tin tặc lấy dữ liệu để tống tiền nhưng với cuộc tấn công này, các dữ liệu chỉ bị xóa mà không có lời cảnh báo. Thông điệp duy nhất được hacker để lại là "meow" (tiếng mèo kêu).
Cơ sở dữ liệu bị hack được để lại thông điệp "meow" (tiếng mèo kêu). Ảnh: Bleeping Computer. |
Hiện chưa rõ ai là kẻ đứng sau vụ tấn công nhưng theo Diachenko, nhiều khả năng vụ tấn công 'meow' chỉ thực hiện cho vui vì các hacker có thể tấn công một cách dễ dàng. Ông cũng nói rằng đây là lời cảnh báo để các doanh nghiệp tăng cường bảo vệ thông tin người dùng bởi mọi thứ có thể biến mất chỉ trong chớp mắt.
Là trưởng nhóm nghiên cứu hãng bảo mật Comparitech, Diachenko thường kiểm tra các cơ sở dữ liệu trên Internet xem chúng có bị ăn cắp dữ liệu do không được bảo mật kỹ hay không.
Những hacker cũng thực hiện phương pháp tương tự Diachenko, khi thấy cơ sở dữ liệu không được bảo mật, lệnh xóa dữ liệu sẽ được kích hoạt tự động.
Về cuộc tấn công "Meow", Diachenko cho rằng các hacker vẫn đang truy quét, và lượng cơ sở dữ liệu bị xóa có thể tăng gấp đôi trong ngày hôm sau.