MongoDB 再遭攻擊，12000 個(gè)數(shù)據(jù)庫(kù)被刪除!

據(jù)外媒報(bào)道，在過(guò)去的三周時(shí)間內(nèi)，超過(guò) 12000 個(gè)不安全的 MongoDB 數(shù)據(jù)庫(kù)受到攻擊，并被刪除，攻擊者只留下了一條信息：想要恢復(fù)數(shù)據(jù)，數(shù)據(jù)庫(kù)所有者必須聯(lián)系攻擊者。

這種規(guī)模的 MongoDB 數(shù)據(jù)庫(kù)攻擊并不是第一次，但是之前攻擊者通過(guò) BinaryEdge 或者 Shodan 搜索引擎找到了暴露的數(shù)據(jù)庫(kù)服務(wù)器，就會(huì)刪除該數(shù)據(jù)庫(kù)，并向數(shù)據(jù)庫(kù)所有者索取贖金。而這次攻擊者雖然采用了 Mongo Lock 來(lái)攻擊遠(yuǎn)程可訪問(wèn)且不受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)，并刪去了數(shù)據(jù)庫(kù)中的內(nèi)容，但奇怪的是，攻擊者只留下了電子郵件的地址，并沒(méi)有指定贖金的金額。

本次攻擊事件的發(fā)現(xiàn)者、獨(dú)立安全研究員 Sanyam Jain 認(rèn)為，攻擊者這么做，很可能是想要根據(jù)數(shù)據(jù)庫(kù)的敏感性來(lái)進(jìn)行不同等級(jí)的收費(fèi)。

有點(diǎn)特別的攻擊：只留聯(lián)系方式，不說(shuō)贖金數(shù)額

研究人員使用 BinaryEdge 發(fā)現(xiàn)了被 Unistellar 刪除的 12564 個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)，而在 Shodan 中只發(fā)現(xiàn)了 7656 個(gè)數(shù)據(jù)庫(kù)，這可能是因?yàn)椴樵儽蛔枞?

Jain 表示：“鑒于目前 BinaryEdge 對(duì) 63000 多臺(tái)可公開(kāi)訪問(wèn)的 MongoDB 服務(wù)器進(jìn)行了索引，Unistellar 攻擊者似乎已經(jīng)減少了大約 20%?！? 月 24 日，研究人員第一次發(fā)現(xiàn)了被刪除的 MongoDB 數(shù)據(jù)庫(kù)，攻擊者留下了一條信息：“想要恢復(fù)數(shù)據(jù)庫(kù)嗎?請(qǐng)聯(lián)系：unistellar@yandex.com。”

使用 BinaryEdge 找到的被刪除的 MongoDB 數(shù)據(jù)庫(kù)

目前攻擊者用來(lái)查找和刪除如此大量數(shù)據(jù)庫(kù)的方法還尚不清楚，但是整個(gè)過(guò)程很可能是完全自動(dòng)化的。在連接到 Internet 上任何一個(gè)未受保護(hù)且可公開(kāi)訪問(wèn)的 MongoDB 數(shù)據(jù)庫(kù)之后，用于執(zhí)行此操作的腳本或程序?qū)?huì)刪除能夠找到的每一個(gè)不安全數(shù)據(jù)庫(kù)，然后添加贖金表。

據(jù) Jain 所說(shuō)，Unistellar 攻擊者似乎創(chuàng)建了恢復(fù)點(diǎn)，以便于能夠恢復(fù)已刪除的數(shù)據(jù)庫(kù)。但是，由于 Unistellar 只提供了電子郵件這一個(gè)聯(lián)系方式，并沒(méi)有提供加密貨幣地址，所以無(wú)法跟蹤受害者是否為了恢復(fù)數(shù)據(jù)庫(kù)而付費(fèi)。為了確認(rèn)被刪除的 MongoDB 數(shù)據(jù)庫(kù)是否真的備份，避免有受害者支付了贖金卻沒(méi)有恢復(fù)數(shù)據(jù)，BleepingComputer 還特意嘗試與 Unistellar 取得聯(lián)系。

無(wú)獨(dú)有偶，Unistellar 組織疑似再出手

5 月 1 日，安全研究員 Bob Diachenko 發(fā)現(xiàn)了一個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù)，暴露了 275265298 條印度公民記錄，具體包含了詳細(xì)的個(gè)人身份信息，在網(wǎng)絡(luò)上的暴露時(shí)間超過(guò) 2 周。Bob Diachenko 將該情況反饋給了印度 CERT 團(tuán)隊(duì)，但該數(shù)據(jù)庫(kù)仍處于開(kāi)放和可搜索的狀態(tài)。但是到了 5 月 8 日，該數(shù)據(jù)庫(kù)被一個(gè)名為“Unistellar”的黑客組織刪除了。

刪除之后，Bob Diachenko 發(fā)現(xiàn)了他們留下了一條消息，這條消息與之前 Jain 發(fā)現(xiàn)的 12000+ 個(gè)被刪除數(shù)據(jù)庫(kù)所留的消息相同。

哪些數(shù)據(jù)庫(kù)會(huì)被攻擊呢?據(jù)了解，被攻擊的數(shù)據(jù)庫(kù)往往是支持遠(yuǎn)程訪問(wèn)且沒(méi)有應(yīng)用正確的訪問(wèn)方式。因此，數(shù)據(jù)庫(kù)所有者可以通過(guò)簡(jiǎn)單的步驟來(lái)防止此類攻擊。MongoDB 提供了關(guān)于如何通過(guò)實(shí)施適當(dāng)?shù)纳矸蒡?yàn)證、訪問(wèn)控制和加密來(lái)保護(hù)數(shù)據(jù)庫(kù)的詳細(xì)信息，同時(shí)還為管理員提供了安全檢查表 。

其實(shí)，防止此類攻擊的最好的兩個(gè)措施是啟用身份驗(yàn)證和禁止遠(yuǎn)程訪問(wèn)數(shù)據(jù)庫(kù)。

近期 MongoDB 數(shù)據(jù)庫(kù)被攻擊事件盤(pán)點(diǎn)

據(jù)悉，2018 年經(jīng)核實(shí)的數(shù)據(jù)泄露事件達(dá)到了 12449 起，與 2017 年相比，增加了 424%。其中大多數(shù)的泄露原因都是企業(yè)的不規(guī)范操作。本文也盤(pán)點(diǎn)了近期內(nèi)發(fā)生的 MongoDB 數(shù)據(jù)庫(kù)被攻擊事件。

未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)暴露伊朗司機(jī)敏感信息

安全研究員 Bob Diachenko 使用 BinaryEdge 搜索引擎發(fā)現(xiàn)了名為“doroshke-invoice-production”的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中包含了兩個(gè)發(fā)票集合，其中一個(gè)是 2017 年的發(fā)票集合，約有 740952 條記錄，另一個(gè)是 2018 年的發(fā)票集合，包含了 6031317 條記錄。記錄信息包括司機(jī)的姓名、伊朗身份證號(hào)、電話號(hào)碼和發(fā)票日期，初步判斷這些信息來(lái)自一家伊朗運(yùn)營(yíng)的乘車(chē)公司。

未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)暴露 8 億條記錄

安全研究員 Bob Diachenko 發(fā)現(xiàn)了一個(gè)未受保護(hù)的 140+GB 的 MongoDB 數(shù)據(jù)庫(kù)，其中包含了 808539939 個(gè)電子郵件記錄，甚至還包括了很多個(gè)人身份信息。據(jù)了解，這個(gè)數(shù)據(jù)庫(kù)中包含了四個(gè)獨(dú)立的記錄集合，其中最大的 mailEmailDatabase 又包含了三個(gè)文件夾，Emailrecords(798171891 條記錄)、emailWithPhone(4150600 條記錄)和 businessLeads(6217358 條記錄)。Emailrecords 文件夾中的信息包含姓名、出生日期、電子郵件、電話號(hào)碼、郵政編碼、地址、性別和 IP 地址。暴露的數(shù)據(jù)庫(kù)可能屬于一家提供企業(yè)電子郵件驗(yàn)證服務(wù)的公司 Verifications IO LLC。

未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)暴露超 2 億用戶簡(jiǎn)歷

外網(wǎng)安全研究人員 Bob Diachenko 偶然發(fā)現(xiàn)了一個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)服務(wù)器，整個(gè)實(shí)例包含 854GB 數(shù)據(jù)，共有 202730434 條記錄，其中大部分是中國(guó)用戶簡(jiǎn)歷，內(nèi)容非常詳細(xì)，包括中文全名、家庭住址、電話號(hào)碼、電子郵件、婚煙狀況、政治關(guān)系、期望薪水等內(nèi)容。根據(jù)多方查證發(fā)現(xiàn)，已刪除應(yīng)用的簡(jiǎn)歷主要來(lái)源之一是 bj.58.com，Diachenko 與 bj.58.com 工作人員聯(lián)系時(shí)，他們也給出了初步評(píng)估，確定數(shù)據(jù)來(lái)自第三方應(yīng)用泄露，并非官方泄露。

未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)暴露 6600 萬(wàn)個(gè)人信息

據(jù)外媒報(bào)道，在某個(gè)未受保護(hù)的數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了超 6600 萬(wàn)個(gè)個(gè)人信息，這些信息看起來(lái)像是從 LinkedIn 配置文件中提取到的數(shù)據(jù)。緩存中包含可以識(shí)別用戶的個(gè)人詳細(xì)信息，而這可能幫助攻擊者創(chuàng)建更難識(shí)別的網(wǎng)絡(luò)釣魚(yú)攻擊。據(jù) Bob Diachenko 稱，泄露的數(shù)據(jù)包括用戶全名、個(gè)人或企業(yè)電子郵箱、用戶的詳細(xì)位置信息、電話號(hào)碼以及工作經(jīng)歷等等，甚至還包括了 LinkedIn 個(gè)人資料的鏈接。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900