Voici une demande de rançon des plus atypiques. Si vous êtes propriétaire d’une ou de plusieurs bases de données MongoDB (non sécurisées), méfiez-vous : certains hackers pourraient vous dénoncer auprès de l’Union Européenne, pour violation du Règlement Général de Protection des Données ou RGPD. Ce, si vous ne prêtez pas satisfaction à leurs exigences pécuniaires.
Comme le rapporte ZDNet, les pirates informatiques à l'origine de cette nouvelle campagne malveillante ont déployé un ransomware sur plus de 22 900 bases de données MongoDB, laissées exposées en ligne sans mot de passe. Pour ce faire, ils ont employé un script automatisé recherchant les bases de données MongoDB mal configurées, avant de les effacer et d’exiger ensuite le paiement d'une rançon de 0,015 bitcoin, soit environ 125 euros.
- Ces applications Android volent vos identifiants Facebook
- PayPal veut convertir ses clients aux crypto-monnaies
- Malware Zloader : surveillez vos comptes bancaires
Une fois la demande de rançon envoyée, les agresseurs laissent aux victimes deux jours pour régler le montant. Sinon, ils contacteront l'autorité locale en charge de faire appliquer le RGPD et signaleront la fuite de données qu'ils ont causée au départ.
Le piège a été découvert en avril dernier par Victor Gevers, chercheur en sécurité à l'Institut néerlandais de lutte contre les vulnérabilités.
Que risque la victime en cas de sanction du RGPD ?
L’escroquerie repose sur le remplacement de la base de données MongoDB par une base alternative intitulée « READ_ME_TO_RECOVER_YOUR_DATA ». A l’intérieur de celle-ci, la victime peut ouvrir et lire la demande de rançon suivante :
« Après 48 heures, votre délai sera expiré et nous exposerons toutes vos données. En cas de refus de paiement, nous contacterons l’organisme chargé du Règlement Général de la Protection des Données. Nous lui notifierons que vous stockez les données de vos clients ou utilisateurs sous une forme ouverte, non conforme à la législation. Selon les règles juridiques, vous risquez une lourde amende ou une arrestation et votre base de données sera retirée de notre serveur ! »
Bien sûr, il faut savoir qu’en cas de non-respect du RGPD, la sanction est graduelle et passe par des avertissements ainsi qu’une médiation, avant qu’une amende ne soit appliquée. Si celle-ci s’avère finalement actée, elle peut toucher entre 2 et 4% du chiffre d’affaires mondial de la victime. Plus sévèrement (et rarement - si les données personnelles sont usées à des fins illicites), un traitement pénal peut être décidé et infliger jusqu’à 5 ans d’emprisonnement au responsable.
Une menace qui se révélerait caduque selon l’analyse de M. Gevers. Selon lui, les données n'ont pu être sauvegardées - donc utilisées par les hackers - avant que la base de données ne soit effacée. Celle-ci, en revanche, serait définitivement perdue.
Via BleepingComputer
