Oltre al danno, la beffa. Potremmo definire così quanto sta avvenendo ai danni delle molte aziende vittime di una campagna criminale a dir poco singolare. Il riscatto per riavere i dati rubati è irrisorio: 0,015 bitcoin (140 dollari). La spada di Damocle però è una mazzata: chi non paga entro due giorni verrà denunciato alle autorità competenti per violazione del GDPR. Per non avere custodito adeguatamente i dati sensibili.

Le vittime sono gli sviluppatori che usano il database MondoDB senza un'adeguata protezione. A quanto pare, i database esposti online senza una password sono 22.900, circa il 47% di tutti i database MongoDB accessibili online.

Quello che apparentemente sembra essere un singolo cyber criminale ha deciso di cercarli sistematicamente. Ha vestito i panni di controllore della corretta applicazione del GDPR e ha eseguito una scansione della rete con uno script automatizzato. Ne ha trovati 22.900. Uno per uno, sta cancellando il loro contenuto, e lasciando la modesta richiesta di riscatto indicata sopra.
Le aziende a cui fanno capo tali database hanno due giorni di tempo per pagare. In cambio non riavranno solo i propri dati. Non saranno denunciate alle autorità locali per la violazione del GDPR. Importo del riscatto e l'estorsione sono inclusi nel file READ_ME_TO_RECOVER_YOUR_DATA, avvistato per la prima volta ad aprile 2020. Stando alle fonti, minaccia esplicitamente l’amministratore del database di denunciare alle autorità competenti il mancato rispetto delle norme GDPR in fatto di conservazione e protezione dei dati.

I 140 dollari del riscatto non sono niente rispetto alla multa che potrebbe seguire a un'effettiva denuncia, che per legge può ammontare fino al 4 percento del fatturato annuo dell'azienda riconosciuta colpevole.

Per chi non lo conoscesse, MongoDB è un database distribuito, usato dagli sviluppatori per la creazione di app. Viene usato per archiviare dati sotto forma di documenti di tipo JSON. È gettonato perché sfrutta query avanzate e facilmente componibili che permettono di filtrare e ordinare i dati in base a qualsiasi campo, indipendentemente dal livello di annidamento all'interno del documento.
ZDnet, che ha riportato la notizia, riferisce che i primi attacchi non comportavano la cancellazione dei dati. Gli attaccanti si limitavano a depositare a cadenza regolare la richiesta di riscatto. Probabilmente non era una cortesia voluta, ma un errore nello script. Di recente, infatti, lo script è stato corretto e ora i dati vengono cancellati. 

Come fa notare la fonte, lo Zorro dei giorni nostri non ha avuto un'idea originale. Gli attacchi "MongoDB wiping & ransom" sono iniziati nel dicembre 2016, quando i cyber criminali si sono resi conto che potevano fare soldi facili cancellando i database MongoDB e ricattando gli sviluppatori. I server compromessi con questo metodo sono stati più di 28.000 a gennaio 2017, 26.000 a settembre 2017, 3.000 a febbraio 2019.

Il problema è dovuto alla disattenzione o all'ingenuità degli amministratori, che durante la configurazione del database commettono errori grossolani, la maggior parte delle volte in buona fede. Oggi la configurazione predefinita di MongoDB è già sicura all'origine. Tuttavia ci sono errori di configurazione dei server che causano comunque l'esposizione dei dati.