MongoDB 再遭攻擊，12000 個數(shù)據(jù)庫被刪除!

據(jù)外媒報道，在過去的三周時間內(nèi)，超過 12000 個不安全的 MongoDB 數(shù)據(jù)庫受到攻擊，并被刪除，攻擊者只留下了一條信息：想要恢復(fù)數(shù)據(jù)，數(shù)據(jù)庫所有者必須聯(lián)系攻擊者。

這種規(guī)模的 MongoDB 數(shù)據(jù)庫攻擊并不是第一次，但是之前攻擊者通過 BinaryEdge 或者 Shodan 搜索引擎找到了暴露的數(shù)據(jù)庫服務(wù)器，就會刪除該數(shù)據(jù)庫，并向數(shù)據(jù)庫所有者索取贖金。而這次攻擊者雖然采用了 Mongo Lock 來攻擊遠程可訪問且不受保護的 MongoDB 數(shù)據(jù)庫，并刪去了數(shù)據(jù)庫中的內(nèi)容，但奇怪的是，攻擊者只留下了電子郵件的地址，并沒有指定贖金的金額。

本次攻擊事件的發(fā)現(xiàn)者、獨立安全研究員 Sanyam Jain 認為，攻擊者這么做，很可能是想要根據(jù)數(shù)據(jù)庫的敏感性來進行不同等級的收費。

有點特別的攻擊：只留聯(lián)系方式，不說贖金數(shù)額

研究人員使用 BinaryEdge 發(fā)現(xiàn)了被 Unistellar 刪除的 12564 個未受保護的 MongoDB 數(shù)據(jù)庫，而在 Shodan 中只發(fā)現(xiàn)了 7656 個數(shù)據(jù)庫，這可能是因為查詢被阻塞。

Jain 表示：“鑒于目前 BinaryEdge 對 63000 多臺可公開訪問的 MongoDB 服務(wù)器進行了索引，Unistellar 攻擊者似乎已經(jīng)減少了大約 20%。”4 月 24 日，研究人員第一次發(fā)現(xiàn)了被刪除的 MongoDB 數(shù)據(jù)庫，攻擊者留下了一條信息：“想要恢復(fù)數(shù)據(jù)庫嗎?請聯(lián)系：unistellar@yandex.com。”

使用 BinaryEdge 找到的被刪除的 MongoDB 數(shù)據(jù)庫

目前攻擊者用來查找和刪除如此大量數(shù)據(jù)庫的方法還尚不清楚，但是整個過程很可能是完全自動化的。在連接到 Internet 上任何一個未受保護且可公開訪問的 MongoDB 數(shù)據(jù)庫之后，用于執(zhí)行此操作的腳本或程序?qū)h除能夠找到的每一個不安全數(shù)據(jù)庫，然后添加贖金表。

據(jù) Jain 所說，Unistellar 攻擊者似乎創(chuàng)建了恢復(fù)點，以便于能夠恢復(fù)已刪除的數(shù)據(jù)庫。但是，由于 Unistellar 只提供了電子郵件這一個聯(lián)系方式，并沒有提供加密貨幣地址，所以無法跟蹤受害者是否為了恢復(fù)數(shù)據(jù)庫而付費。為了確認被刪除的 MongoDB 數(shù)據(jù)庫是否真的備份，避免有受害者支付了贖金卻沒有恢復(fù)數(shù)據(jù)，BleepingComputer 還特意嘗試與 Unistellar 取得聯(lián)系。

無獨有偶，Unistellar 組織疑似再出手

5 月 1 日，安全研究員 Bob Diachenko 發(fā)現(xiàn)了一個未受保護的 MongoDB 數(shù)據(jù)，暴露了 275265298 條印度公民記錄，具體包含了詳細的個人身份信息，在網(wǎng)絡(luò)上的暴露時間超過 2 周。Bob Diachenko 將該情況反饋給了印度 CERT 團隊，但該數(shù)據(jù)庫仍處于開放和可搜索的狀態(tài)。但是到了 5 月 8 日，該數(shù)據(jù)庫被一個名為“Unistellar”的黑客組織刪除了。

刪除之后，Bob Diachenko 發(fā)現(xiàn)了他們留下了一條消息，這條消息與之前 Jain 發(fā)現(xiàn)的 12000+ 個被刪除數(shù)據(jù)庫所留的消息相同。

哪些數(shù)據(jù)庫會被攻擊呢?據(jù)了解，被攻擊的數(shù)據(jù)庫往往是支持遠程訪問且沒有應(yīng)用正確的訪問方式。因此，數(shù)據(jù)庫所有者可以通過簡單的步驟來防止此類攻擊。MongoDB 提供了關(guān)于如何通過實施適當?shù)纳矸蒡炞C、訪問控制和加密來保護數(shù)據(jù)庫的詳細信息，同時還為管理員提供了安全檢查表 。

其實，防止此類攻擊的最好的兩個措施是啟用身份驗證和禁止遠程訪問數(shù)據(jù)庫。

近期 MongoDB 數(shù)據(jù)庫被攻擊事件盤點

據(jù)悉，2018 年經(jīng)核實的數(shù)據(jù)泄露事件達到了 12449 起，與 2017 年相比，增加了 424%。其中大多數(shù)的泄露原因都是企業(yè)的不規(guī)范操作。本文也盤點了近期內(nèi)發(fā)生的 MongoDB 數(shù)據(jù)庫被攻擊事件。

未受保護的 MongoDB 數(shù)據(jù)庫暴露伊朗司機敏感信息

安全研究員 Bob Diachenko 使用 BinaryEdge 搜索引擎發(fā)現(xiàn)了名為“doroshke-invoice-production”的數(shù)據(jù)庫，該數(shù)據(jù)庫中包含了兩個發(fā)票集合，其中一個是 2017 年的發(fā)票集合，約有 740952 條記錄，另一個是 2018 年的發(fā)票集合，包含了 6031317 條記錄。記錄信息包括司機的姓名、伊朗身份證號、電話號碼和發(fā)票日期，初步判斷這些信息來自一家伊朗運營的乘車公司。

未受保護的 MongoDB 數(shù)據(jù)庫暴露 8 億條記錄

安全研究員 Bob Diachenko 發(fā)現(xiàn)了一個未受保護的 140+GB 的 MongoDB 數(shù)據(jù)庫，其中包含了 808539939 個電子郵件記錄，甚至還包括了很多個人身份信息。據(jù)了解，這個數(shù)據(jù)庫中包含了四個獨立的記錄集合，其中最大的 mailEmailDatabase 又包含了三個文件夾，Emailrecords(798171891 條記錄)、emailWithPhone(4150600 條記錄)和 businessLeads(6217358 條記錄)。Emailrecords 文件夾中的信息包含姓名、出生日期、電子郵件、電話號碼、郵政編碼、地址、性別和 IP 地址。暴露的數(shù)據(jù)庫可能屬于一家提供企業(yè)電子郵件驗證服務(wù)的公司 Verifications IO LLC。

未受保護的 MongoDB 數(shù)據(jù)庫暴露超 2 億用戶簡歷

外網(wǎng)安全研究人員 Bob Diachenko 偶然發(fā)現(xiàn)了一個未受保護的 MongoDB 數(shù)據(jù)庫服務(wù)器，整個實例包含 854GB 數(shù)據(jù)，共有 202730434 條記錄，其中大部分是中國用戶簡歷，內(nèi)容非常詳細，包括中文全名、家庭住址、電話號碼、電子郵件、婚煙狀況、政治關(guān)系、期望薪水等內(nèi)容。根據(jù)多方查證發(fā)現(xiàn)，已刪除應(yīng)用的簡歷主要來源之一是 bj.58.com，Diachenko 與 bj.58.com 工作人員聯(lián)系時，他們也給出了初步評估，確定數(shù)據(jù)來自第三方應(yīng)用泄露，并非官方泄露。

未受保護的 MongoDB 數(shù)據(jù)庫暴露 6600 萬個人信息

據(jù)外媒報道，在某個未受保護的數(shù)據(jù)庫中發(fā)現(xiàn)了超 6600 萬個個人信息，這些信息看起來像是從 LinkedIn 配置文件中提取到的數(shù)據(jù)。緩存中包含可以識別用戶的個人詳細信息，而這可能幫助攻擊者創(chuàng)建更難識別的網(wǎng)絡(luò)釣魚攻擊。據(jù) Bob Diachenko 稱，泄露的數(shù)據(jù)包括用戶全名、個人或企業(yè)電子郵箱、用戶的詳細位置信息、電話號碼以及工作經(jīng)歷等等，甚至還包括了 LinkedIn 個人資料的鏈接。

河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話：0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900