Des milliers de bases de données Internet non sécurisées ont fait l'objet d'attaques automatiques de type Meow (équivalent anglais de « miaou ») qui impliquent la destruction des données sans même laisser de note explicative.

Une recherche sur Shodan montre que les attaques « Meow » se sont multipliées ces derniers jours, avec près de 4 000 bases de données désormais effacées. Alors que plus de 97 % des attaques ont touché les instances Elasticsearch et MongoDB, les systèmes fonctionnant sous Cassandra, CouchDB, Redis, Hadoop, Jenkins et Apache ZooKeeper ont également été visés, selon BleepingComputer.

Ces attaques doivent leur nom au fait que les données sont écrasées par des caractères aléatoires comprenant le mot « Meow ». Les auteurs et les raisons de cette tactique demeurent inconnus.

Entre-temps, un chercheur en sécurité a écrit sur Twitter que les attaques ont été menées en utilisant des adresses IP de ProtonVPN.

Proton précise, en guise de réponse : « Nous étudions la question et nous bloquerons toute utilisation de ProtonVPN qui irait à l'encontre de nos conditions générales. »

L'un des premiers cas enregistrés de ces attaques Meow visait une base de données Elasticsearch appartenant à un fournisseur de VPN. La base de données non sécurisée a été découverte par le chercheur en sécurité Bob Diachenko et était l'un des sept services VPN qui ont divulgué les données de plus de 20 millions d'utilisateurs.

Bob Diachenko a par la suite averti le fournisseur d'hébergement le 14 juillet, et la base de données a été sécurisée le lendemain. Cependant, elle a été exposée une seconde fois le 20 juillet et a ensuite été frappée par une attaque du bot Meow qui a effacé presque toutes les données stockées dans la base de données.

Ces assauts ont également été observés par des chercheurs de la fondation à but non lucratif GDI. L'une des attaques s'est produite après qu'un chercheur ait divulgué de manière responsable une base de données exposée à son propriétaire. Victor Gevers, le président de la fondation, souligne que l'auteur de l'attaque visait probablement toute base de données non sécurisée accessible sur Internet.

Alors que certains chercheurs se demandent si les attaquants tentent de "former" les administrateurs pour qu'ils gardent leurs bases de données verrouillées, le fait est que les administrateurs devraient sécuriser correctement leurs actifs.

Les attaques contre des bases de données mal configurées ne sont pas rares. Il y a quelques semaines à peine, nous avons écrit au sujet de milliers de bases de données non sécurisées de MongoDB qui ont été saccagées et rançonnées. Cependant, le fait d'effacer des bases de données mal sécurisées sans laisser la moindre note (telle qu’une demande de rançon) pourrait être considéré comme inhabituel.