Elasticsearch

Platform membaca komik Mangatoon telah mengalami pelanggaran data yang mengekspos informasi milik 23 juta akun pengguna setelah seorang peretas mencurinya dari basis data Elasticsearch yang tidak aman.

Mangatoon juga merupakan aplikasi iOS dan Android yang sangat populer digunakan oleh jutaan pengguna untuk membaca komik Manga online.

Minggu ini, layanan pemberitahuan pelanggaran data Have I Been Pwned (HIBP) menambahkan 23 juta akun Mangatoon ke platform mereka.

“Mangatoon memiliki 23 juta akun yang dibobol pada bulan Mei. Pelanggaran itu mengekspos nama, alamat email, jenis kelamin, identitas akun media sosial, token auth dari login sosial dan hash kata sandi MD5 asin,” tweet akun HIBP.

Penambahan database Mangatoon dilakukan setelah pemilik HIBP, Troy Hunt, mencoba menghubungi perusahaan tentang pelanggaran data tanpa hasil.

Pengguna Mangatoon sekarang dapat mencari alamat email mereka di HIBP dan memeriksa apakah akun mereka merupakan bagian dari pelanggaran.

Pelanggaran data dilakukan oleh seorang hacker terkenal bernama “pompompurin,” yang mengatakan mereka mencuri database dari server Elasticsearch yang menggunakan kredensial lemah.

Folder yang berisi database Mangatoon yang dicuri
Sumber: pompompurin

pompompurin membagikan sampel database dengan BleepingComputer, yang kami konfirmasikan sebagai akun yang valid di platform Mangatoon.

Ketika ditanya apakah mereka akan merilis atau menjual database secara publik, mereka mengatakan bahwa mereka mungkin akan membocorkannya di beberapa titik.

pompompurin telah terlibat dalam pelanggaran profil tinggi lainnya, termasuk mengirim email serangan siber palsu melalui Portal Perusahaan Penegakan Hukum FBI (LEEP) dan mencuri data pelanggan dari Robinhood.

Setelah forum hacking RaidForums disita oleh penegak hukum, pompompurin meluncurkan forum serupa yang disebut Breached.

Sumber: Bleeping Computer

Peretas telah menargetkan basis data Elasticsearch yang tidak aman dan mengganti 450 indeks dengan catatan tebusan yang meminta $620 untuk memulihkan konten, dengan total permintaan $279.000.

Pelaku ancaman menetapkan tenggat waktu tujuh hari untuk pembayaran dan mengancam akan melipatgandakan permintaan setelah itu. Jika satu minggu lagi berlalu tanpa dibayar, mereka mengatakan korban akan kehilangan indeks.

Mereka yang membayar sejumlah itu dijanjikan tautan unduhan ke dump basis data mereka yang konon akan membantu memulihkan struktur data ke bentuk aslinya dengan cepat.

Kampanye ini ditemukan oleh analis ancaman di Secureworks, yang mengidentifikasi lebih dari 450 permintaan individu untuk pembayaran tebusan.

Menurut Secureworks, pelaku ancaman menggunakan skrip otomatis untuk mengurai basis data yang tidak dilindungi, menghapus data mereka, dan menambahkan uang tebusan, sehingga tampaknya tidak ada keterlibatan manual dalam operasi ini.

Catatan tebusan dijatuhkan pada basis data yang dihapus (Secureworks)

Kampanye ini bukanlah hal baru, dan kami telah melihat serangan oportunistik serupa beberapa kali sebelumnya, dan juga terhadap sistem manajemen basis data lainnya [1, 2, 3].

Memulihkan konten basis data dengan membayar peretas adalah skenario yang tidak mungkin, karena tantangan praktis dan finansial bagi penyerang untuk menyimpan data dari begitu banyak basis data tidak mungkin dilakukan.

Sebaliknya, pelaku ancaman hanya menghapus isi dari database yang tidak dilindungi dan meninggalkan catatan tebusan, berharap korban akan percaya klaim mereka. Sejauh ini, salah satu alamat dompet Bitcoin yang terlihat di catatan tebusan telah menerima satu pembayaran.

Salah satu alamat Bitcoin yang digunakan dalam kampanye (Blockchain.com)

Namun, bagi pemilik data, jika mereka tidak melakukan pencadangan rutin, kehilangan segalanya dari penghapusan semacam itu kemungkinan besar akan menyebabkan kerugian finansial yang signifikan.

Beberapa dari basis data ini mendukung layanan online, jadi selalu ada risiko gangguan bisnis yang dapat menghabiskan biaya lebih banyak daripada jumlah kecil yang diminta oleh para penjahat.

Selain itu, organisasi tidak boleh mengecualikan kemungkinan bahwa penyusup mencuri data untuk memonetisasinya dengan berbagai cara.

Sayangnya, selama database terbuka di depan publik internet tanpa mengamankannya dengan benar, serangan oportunistik ini akan terus menargetkan mereka.

Laporan terbaru oleh Group-IB menunjukkan bahwa lebih dari 100.000 instans Elasticsearch ditemukan terpapar di web pada tahun 2021, terhitung sekitar 30% dari total 308.000 database yang terpapar pada tahun 2021.

Jumlah total database yang terpapar yang terdeteksi dari awal tahun 2021 (Group-IB)

Menurut laporan yang sama, admin basis data membutuhkan rata-rata 170 hari untuk menyadari bahwa mereka telah melakukan kesalahan konfigurasi, menyisakan banyak waktu bagi pelaku jahat untuk melakukan serangan.

Seperti yang digarisbawahi oleh Secureworks, tidak ada database yang boleh dilihat oleh publik kecuali jika penting untuk peran mereka. Selain itu, jika akses jarak jauh diperlukan, admin harus mengatur otentikasi multi-faktor untuk pengguna yang berwenang dan membatasi akses hanya untuk individu yang relevan.

Organisasi yang mengalihdayakan layanan ini ke penyedia cloud harus memastikan bahwa kebijakan keamanan vendor kompatibel dengan standar mereka dan bahwa semua data terlindungi secara memadai.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Pelanggaran data mangatoon mengekspos data dari 23 juta akun

Ratusan database Elasticsearch ditargetkan dalam serangan tebusan

Elasticsearch

Cookies Settings