據外媒ZDNet報道,2.29萬在網上暴露的MongoDB數據庫被黑客勒索。據悉,這名黑客利用一個自動化腳本掃描配置錯誤的MongoDB數據庫,刪除數據庫中的內容,然後留下一條勒索信息,要求用戶支付0.015比特幣(相當於140美元)。
這名攻擊者給數據庫所有者兩天時間來支付贖金。如果不支付贖金,攻擊者還有“Plan B":威脅受害者泄露他們的數據,並且聯繫受害者本地的GDPR監管機構,向其報告數據泄露事件。
這樣一來,即使受害者不支付贖金,也將面臨GDPR監管機構所帶來的壓力。
據瞭解,這2.29萬被勒索的MongoDB數據庫佔網上全部暴露的MongoDB數據庫的47%。
攻擊者植入的勒索信息最早於2020年4月被發現。Victor Gevers是GDI基金會的一名網絡安全研究者,其部分職責是向公司報告在網上暴露的服務器。他表示,最初的攻擊行動並不包括刪除數據庫中的數據。
攻擊者繼續連接到同一數據庫,留下贖金記錄,幾天後再次返回以留下贖金記錄的另一個副本。Gevers稱,攻擊者似乎意識到它們在腳本中犯了錯。不久之後,攻擊者修正了它們的腳本,現在實際上是在清除MongoDB數據庫。
儘管這些數據庫中的一部分看似是測試用例,但是Gevers表示,一些生產系統也受到衝擊。
MongoDB勒索事件
黑客們侵入用戶的 MongoDB 數據庫,把數據全部刪掉,然後留下一條消息,要求用戶用比特幣支付價值幾千美元的贖金。這種攻擊行動被稱爲“MongDB勒索事件”。
事實上,MongoDB勒索事件曾在幾年前數次上演。
2016 年 12 月底,MongoDB 遭黑客勒索,此事在 2017 年 1 月達到頂峯。攻擊者利用配置存在紕漏的 MongoDB 展開勒索行爲,自稱 Harak1r1 的黑客組織將網絡上公開的 MongoDB 資料庫中的資料匯出,並將 MongoDB 服務器上的資料移除。起初兩百個 MongoDB 數據庫實例的數據被非法清除,幾天之內,受感染的 MongoDB 數據庫實例已經增長至一萬多臺。開始攻擊者要求受害人支付 0.2 個比特幣 (當時的價值約爲 184 美金) 作爲數據贖金,隨着被感染的數據庫越來越多,攻擊者將勒索贖金提升至 1 個比特幣 (價值約爲 906 美金)。此次事件被稱爲“MongoDB 啓示錄”。
這種攻擊行動讓黑客意識到,它們可以通過清除MongoDB服務器並留下勒索信息,誘騙那些迫切希望取回文件的服務器所有者,最後賺取更多的錢。
2017 年 9 月,MongoDB 數據庫再次遭到黑客勒索攻擊,三個黑客團伙劫持了 2.6 萬餘臺服務器。與“MongoDB 啓示錄”相比,此次攻擊者的數量有所下降,但每次攻擊的破壞性(受害者)數量上升。
在2017年,MongoDB產品安全資深主管Davi Ottenheimer譴責這種行爲,並指出發生此事的原因之一是數據庫所有者未能給數據庫設置密碼,並將沒有配置防火牆的服務器暴露在網上。
近3年後,這一切幾乎沒有任何變化。
2017年初,有6萬臺MongoDB服務器在網上暴露,而現在,還有4.8萬臺服務器暴露於網上,關鍵是其中大多數沒有啓用身份驗證。
安全問題的背後原因
MongoDB 爲何如此易受攻擊?
在這篇文章中,作者指出:MongoDB 的最大的安全問題來源於 MongoDB 的默認配置。在默認部署情況下,MongoDB 無需身份驗證,即可登錄,不法分子只要在互聯網上發現 MongoDB 的地址和端口就可以通過工具直接訪問 MongoDB,並擁有 MongoDB 的全部權限,從而進行任意操作。之所以會如此設計,原因在於:
- MongoDB 默認通過最簡單部署方式,最大限度提高運行速度,以在虛擬機(低配機)上運行而定製的,並未充分考慮 MongoDB 的安全性。
- MongoDB 官方文檔,如針對身份驗證,傳輸加密,網絡配置的文檔、指南並不規範,容易誤導 MongoDB 管理員。
- 一些 MongoDB 環境是爲了單一項目或者是測試環境搭建,搭建者並不關心 MongoDB 的安全問題。
對於MongoDB勒索事件,MongoDB 中文社區發起人、MongoDB 官方大中華區首席架構師唐建法在《“沒有一個技術是完美的”: MongoDB十年發展全紀錄》總結道:
MongoDB,爲了最大程度上方便程序員快速開發應用,默認方式下不需要設置用戶名密碼登錄。這樣一來,很多粗心的程序員,特別是創業公司,往往在系統正式上線時候也沒有啓用鑑權。就譬如你買了一套房子卻沒有使用門鎖一樣。
在筆者看來,對任何使用MongoDB的人來說,安全至關重要。一旦疏忽,MongoDB暴露於網上,遭遇勒索是小事,如果數據被刪除,那麼損失是無限的。