Onbeveiligde MongoDB-databases leggen Kremlins achterdeur in Russische bedrijven bloot

De Nederlandse veiligheidsonderzoeker Victor Gevers heeft een account gevonden die het Kremlin gebruikte om zichzelf toegang te verlenen tot de servers van lokale en buitenlandse bedrijven die in Rusland werkzaam zijn. De account werd aangetroffen in duizenden MongoDB-databases die zonder wachtwoord online toegankelijk bleken te zijn.

Gevers sprak met de site ZDNet en vertelde over de achterdeuraccount die hij vond. Hij stelt dat zo’n beetje elke hacker die dit account gevonden zou hebben, zichzelf toegang had kunnen verschaffen tot gevoelige informatie van duizenden bedrijven die in Rusland werkzaam zijn. “De eerste keer dat ik de credentials aantrof, was in de gebruikerstabel van een Russische Lotto-site”, aldus Gevers tijdens het interview. “Ik moest wat graafwerk verrichten om te begrijpen dat het Kremlin afgelegen toegang eist tot systemen die financiële transacties verwerken.”

Meer dan 2.000 databases

De onderzoeker stelt dat hij dezelfde admin@kremlin.ru-account in meer dan 2.000 andere MongoDB-databases aantrof. Allemaal waren ze online blootgesteld en behoorden ze toe aan lokale en buitenlandse bedrijven die actief zijn in Rusland. Het betrof onder meer databases van lokale banken, financiële instituten, telecombedrijven en zelfs Disney Russia. Dat zag er dan als volgt uit:

Screenshot gemaakt door Victor Gevers

Gevers trof de account zelfs aan in een MongoDB-database die toebehoorde aan het Oekraïense ministerie van binnenlandse zaken, waarin informatie te vinden viel over de ERDR-onderzoeken die uitgevoerd werden naar corrupte politici in het land. Dat is opmerkelijk, want Rusland en Oekraïne verkeren al enige jaren in conflict.

Bij zijn onderzoek zocht Gevers niet uit waar het account voor gebruikt werd. Hij onderzocht als whitehat-hacker enkel lekkende MongoDB-databases en probeert bij zijn onderzoek “de privacy zoveel mogelijk te respecteren, door de zoektocht naar informatie als de mailadressen van eigenaren te minimaliseren. Alle systemen met dit wachtwoord waren hoe dan ook voor iedereen toegankelijk. De MongoDB-databases waren allemaal uitgerold met standaardinstellingen. Iedereen zonder authenticatie had dus CRUD [Create, Read, Update, Delete] toegang.”

“Het heeft ons nogal wat tijd en moeite gekost om het Kremlin te contacteren en waarschuwen over het probleem. Maar we slaagden daar nooit in. Tegelijk lijkt de boodschap wel te zijn doorgedrongen. We ontdekken nog altijd Russische databases van bedrijven, maar deze credentials zijn de afgelopen maanden niet meer aangetroffen”, aldus Gevers.