Análise de um caso de invasão ao MongoDB por meio da criação de um honeypot

Ao desenvolver com base em MongoDB, às vezes há casos em que criminosos de ransomware invadem o servidor, apagam o conteúdo do DB e depois exigem bitcoins. Pessoalmente, no começo de 2018, vi de perto um caso real assim acontecendo com pessoas que faziam um projeto em equipe ao meu lado. Na época eu também trabalhava com MongoDB, então fiquei bastante assustado, mas não sabia exatamente como a invasão acontecia.

Apresento um texto que analisa brevemente as consultas MongoDB usadas nesse tipo de crime de invasão, por meio da criação de um honeypot, ou seja, um servidor-isca que expõe vulnerabilidades de propósito para atrair atacantes e analisar os métodos que eles usam. (em coreano) De qualquer forma, se o servidor de DB puder ser acessado pela internet externa, sua existência logo fica exposta por meio de varreduras e, a partir daí, parece que em algum momento ele acaba sendo facilmente comprometido por vulnerabilidades e afins. No fim das contas, o certo é manter o DB bem escondido para que não fique exposto diretamente.

Referência - conceito de honeypot:

http://www.itworld.co.kr/tags/58302/%ED%97%88%EB%8B%88%ED%8C%9F/120233