http://www.7klian.com

黑客打单 23000 个 MongoDB 数据库,不交钱就泄露数据

MongoDB 默认通过最简朴陈设方法,最大限度提高运行速度,以在虚拟机(低配机)上运行而定制的,并未充实思量 MongoDB 的安详性。

据相识,这 2.29 万被打单的 MongoDB 数据库占网上全部袒露的 MongoDB 数据库的 47%。

MongoDB 打单事件

2017 年 9 月,MongoDB 数据库再次遭到黑客打单进攻,三个黑客团伙挟制了 2.6 万余台处事器。与「MongoDB 启示录」对比,此次进攻者的数量有所下降,但每次进攻的粉碎性(受害者)数量上升。

这样一来,纵然受害者不付出赎金,也将面对 GDPR 禁锢机构所带来的压力。

2016 年 12 月底,MongoDB 遭黑客打单,此事在 2017 年 1 月到达巅峰。进攻者操作设置存在马虎的 MongoDB 展开打单行为,自称 Harak1r1 的黑客组织将网络上果真的 MongoDB 资料库中的资料汇出,,并将 MongoDB 处事器上的资料移除。起初两百个 MongoDB 数据库实例的数据被犯科排除,几天之内,受传染的 MongoDB 数据库实例已经增长至一万多台。开始进攻者要求受害人付出 0.2 个比特币 (其时的代价约为 184 美金) 作为数据赎金,跟着被传染的数据库越来越多,进攻者将打单赎金晋升至 1 个比特币 (代价约为 906 美金)。此次事件被称为「MongoDB 启示录」。

原文作者:万佳,InfoQ

对付 MongoDB 打单事件,MongoDB 中文社区提倡人、MongoDB 官方大中华区首席架构师唐建法在《「没有一个技能是完美的」: MongoDB 十年成长全记载》总结道:

黑客们侵入用户的 MongoDB 数据库,把数据全部删掉,然后留下一条动静,要求用户用比特币付出代价几千美元的赎金。这种进攻动作被称为「MongDB 打单事件」。

近 3 年后,这一切险些没有任何变革。

MongoDB,为了最洪流平上利便措施员快速开拓应用,默认方法下不需要配置用户名暗码登录。这样一来,许多粗心的措施员,出格是创业公司,往往在系统正式上线时候也没有启用鉴权。就譬如你买了一套屋子却没有利用门锁一样。

一些 MongoDB 情况是为了单一项目可能是测试情况搭建,搭建者并不体贴 MongoDB 的安详问题。

2017 年头,有 6 万台 MongoDB 处事器在网上袒露,而此刻,尚有 4.8 万台处事器袒露于网上,要害是个中大大都没有启用身份验证。

进攻者继承毗连到同一数据库,留下赎金记录,几天后再次返回以留下赎金记录的另一个副本。Gevers 称,进攻者好像意识到它们在剧本中犯了错。不久之后,进攻者批改了它们的剧本,此刻实际上是在排除 MongoDB 数据库。

在这篇文章中,作者指出:MongoDB 的最大的安详问题来历于 MongoDB 的默认设置。在默认陈设环境下,MongoDB 无需身份验证,即可登录,非法分子只要在互联网上发明 MongoDB 的地点和端口就可以通过东西直接会见 MongoDB,并拥有 MongoDB 的全部权限,从而举办任意操纵。之所以会如此设计,原因在于:

事实上,MongoDB 打单事件曾在几年前数次上演。

进攻者植入的打单信息最早于 2020 年 4 月被发明。Victor Gevers 是 GDI 基金会的一名网络安详研究者,其部门职责是向公司陈诉在网上袒露的处事器。他暗示,最初的进攻动作并不包罗删除数据库中的数据。

在笔者看来,对任何利用 MongoDB 的人来说,安详至关重要。一旦疏忽,MongoDB 袒露于网上,遭遇打单是小事,假如数据被删除,那么损失是无限的。

这种进攻动作让黑客意识到,它们可以通过排除 MongoDB 处事器并留下打单信息,拐骗那些急切但愿取回文件的处事器所有者,最后赚取更多的钱。

原文标题:《黑客打单 23000 个 MongoDB 数据库,不交钱就泄露数据》

据外媒 ZDNet 报道,2.29 万在网上袒露的 MongoDB 数据库被黑客打单。据悉,这名黑客操作一个自动化剧本扫描设置错误的 MongoDB 数据库,删除数据库中的内容,然后留下一条打单信息,要求用户付出 0.015 (相当于 140 美元)。

在 2017 年,MongoDB 产物安详资深主管 Davi Ottenheimer 谴责这种行为,并指出产生此事的原因之一是数据库所有者未能给数据库配置暗码,并将没有设置防火墙的处事器袒露在网上。

MongoDB 官方文档,如针对身份验证,传输加密,网络设置的文档、指南并不类型,容易误导 MongoDB 打点员。

MongoDB 为何如此易受进攻?

尽量这些数据库中的一部门看似是测试用例,可是 Gevers 暗示,一些出产系统也受到攻击。

安详问题的背后原因

这名进攻者给数据库所有者两天时间来付出赎金。假如不付出赎金,进攻者尚有「Plan B”:威胁受害者泄露他们的数据,而且接洽受害者当地的 GDPR 禁锢机构,向其陈诉数据泄露事件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读