22900 個 MongoDB 數據被勒索，黑客威脅要聯系 GDPR 權威機構

黑客曾試圖勒索近47%的暴露在網絡上的MongoDB數據庫。

一名黑客在沒有密碼的情況下，向22900個MongoDB數據庫上傳了贖金記錄，這個數字約占在線可訪問MongoDB數據庫總數的47%。

黑客使用自動腳本掃描配置錯誤的MongoDB數據庫，刪除其中的內容，并留下一張索要0.015比特幣(約合140美元)贖金的紙條。

攻擊者給公司兩天的時間付款，并威脅要泄露他們的數據，然后聯系受害者當地的數據保護法規執行機構（GDPR）報告他們的數據泄露。

早在2020年4月，就有人發現了植入贖金條的攻擊。

GDI基金會的安全研究員Victor Gevers說，最初的攻擊不包括數據清除步驟。

攻擊者一直連接到相同的數據庫，留下贖金條，然后幾天后再次返回，留下同一贖金條的另一份副本。

但是Gevers說，攻擊者似乎已經意識到他們在腳本中犯了一個錯誤。從昨天開始，黑客已經糾正了他們的腳本，他們現在正在清理MongoDB數據庫。

Gevers說，盡管其中一些數據庫是測試實例，但一些生產系統也遭到了攻擊，攻擊者已經刪除了登臺數據。

作為在GDI基金會工作的一部分，Gevers向公司報告了服務器的暴露，他說早些時候在檢查MongoDB系統時，他注意到清除系統，他匯報了此情況并得到了安全保護。

“我只能報告一次數據泄露。正常情況下，我至少可以做5到10次。”Gevers說。

類似的襲擊自2016年底以來就一直在發生

然而，這些“MongoDB清除&贖金”攻擊本身并不是新的。Gevers發現的攻擊只是始于2016年12月的一系列攻擊的最新階段，當時黑客就意識到他們可以通過清除MongoDB服務器，并留下贖金要求來欺騙那些拼命想要回他們文件的服務器所有者，從而大賺一筆。

2017年1月，2.8萬臺服務器在一系列攻擊中被贖回，2017年9月，2.6萬臺服務器被贖回，2019年2月，3000臺服務器被贖回。

早在2017年，MongoDB公司產品安全高級總監Davi Ottenheimer就指責這些攻擊是有理由的——數據庫所有者沒有為他們的數據庫設置密碼，然后讓他們的服務器在沒有防火墻的情況下暴露在網絡上。

三年過去了，一切似乎都沒有改變。從2017年初暴露在網絡上的6萬臺MongoDB服務器，到現在數量幾乎沒有增加到4.8萬臺，并且其中大多數服務器都沒有啟用身份驗證。

大多數時候，這些服務器的出錯都是在管理員遵循不正確的MongoDB配置教程來配置系統時犯下的，或者使用服務器映像打包了一個錯誤配置的MongoDB系統開箱即用之后就暴露出來了。

目前默認的MongoDB數據庫設置已經自帶了安全的默認設置，但是盡管如此，我們每天仍然有成千上萬的服務器因為這樣或那樣的原因被暴露在網上。對于服務器管理員尋找保護MongoDB服務器的正確方式，MongoDB安全頁面是能得到正確建議的一個好地方。