Más de 4.000 bases de datos expuestas en la red han sufrido en los últimos días un ataque que ha borrado todos sus contenidos. Los responsables del mismo no han reivindicado la acción, ni han dejado una nota de rescate exigiendo dinero para que los propietarios de las bases recuperen sus datos; sólo han dejado un mensaje: "miau".
|
etiquetas: meow , mongodb , elasticsearch , bases de datos , seguridad
Investigando en un foro de hackers logré hablar con él, era un adolescente de 16 años de México, que solo estaba jugando.
No logré recuperar nada, simplemente lo borró como un juego.
Desde entonces que hago copias de seguridad diarias redundantes...
(y por cosas quiero decir “el dominio global”)
Muchos "bootcamp" por ejemplo enseñan mongodb posiblemente porque enseñar bases de datos relacionales lleva más tiempo que simplemente lanzar cualquier documento/objeto a la base de datos.
Y mongodb por defecto solía aceptar cualquier conexión: snyk.io/blog/mongodb-hack-and-secure-defaults/
Investigando en un foro de hackers logré hablar con él, era un adolescente de 16 años de México, que solo estaba jugando.
No logré recuperar nada, simplemente lo borró como un juego.
Desde entonces que hago copias de seguridad diarias redundantes...
Si pasa la catástrofe en dos, lo de menos serán los datos...
- bases de datos no actualizadas.
- puertos por defecto.
- acceso público y no limitado por ip, etc.
Poco pasa en este mundo de “hexpertos”
Al loro eh.
Pues lo mismo pero con BBDD.
Vale, y ese "usuario" como, cuando y por qué estaba monitorizando esas BD? llamadme conspiranoico pero que una de las VPN mas seguras (que no pueden ser monitorizadas por los servicios de "seguridad" de ciertos gobiernos a su antojo), sea acusada sin mas pruebas que las capturas de un twit, lo pongo en cuarentena de momento.
Sin certificados
Sin rbac
Luego resulta que se ha estado haciendo mal el backup durante meses y el primero que lo configuró ya no está en la empresa.
Seguro que han jodido a algunos que probaban su pet project con datos inventados o datos públicos. Pero también habrá startspps de "ya implementaremos la seguridad en la fase 2"
Si no eres adulto para poner contraseñas a los datos de otros mejor que no los tengas.
Tienes toda la razón, como hicieron algo mal merecen ser castigados.
Lo que hay que leer.
Y lo de que el servicio es el mismo, perdona que lo dude. El soporte de Elastic es de los mejores y más valorados.
Cuando hablo de servicio, me refiero a que el sistema de base de datos es el mismo pagando o no, lo que pagas es para tener unos módulos extra (que en muchos casos son muy útiles) pero lo que es el servicio de almacén y consulta de elastic es el mismo tanto gratis como pagando.
However, it will not be 'open source' as it will not be covered by an OSI approved license.
Por otro lado ambos realizan funciones de automatizacion, backups, etc.
Sí, claro, das por supuesto que la base de datos tiene datos súper sensibles para justificar que alguien se tome supuestamente la justicia por su mano y lo arregle a la brava.
Ya está, ya lo hemos justificado, podemos pasar a la siguiente noticia
youtu.be/i_cVJgIz_Cs
youtu.be/w7x_lWJNnNg
Uno España es un país de calle de sol y dos es un país que tiene problemas graves de autoridad estamos bajo el yugo de una educación franquista y se funciona por obligación pero no por comprensión y a la capital des confinamiento ha pasado lo que ha pasado
Es como que te roben la cartera si te la dejas encima del coche olvidada. No es justificarlo sino decir "bueno, que esperabas?". Es distinto
Sí, un plato es un plato, y un comentario mal leído puede aparentar todo lo contrario a lo que se dice.
Como le he dicho hoy al dueño de un bar, ante la obligación de pedir datos a los clientes - Ayuso manda-, apunta los datos en papel y guárdalos en una caja con llave. Ni se te ocurra hacerlo en WhatsApp, en un móvil o en un PC viejo.