MongoDB 數據庫最快 9 分鐘被入侵

平均而言，暴露的Mongo數據庫在連接到互聯網后的13個小時內就會遭到破壞。據入侵者表示，記錄的最快入侵時間是在數據庫建立后9分鐘進行的。

MongoDB是一個通用的，基于文檔的分布式數據庫，在全球使用率最高的5個數據庫中始終保持不變。全球范圍內的許多組織都使用它來存儲和保護敏感的應用程序和客戶數據。

互聯網上有80,000個公開的MongoDB服務，其中20,000個是不安全的。在那些不安全的數據庫中，已經有15,000個被勒索軟件感染。

MongoDB攻擊如何進行

在看到數據庫破壞發生的持續性之后，入侵者植入了蜜罐，以查明這些攻擊是如何發生的，威脅來自何處以及發生的速度。入侵者在網絡上建立了許多不安全的MongoDB蜜罐，每個蜜罐中充斥著假數據。監視了網絡流量中是否存在惡意活動，如果泄露了密碼哈希值并且發現它們穿過網絡，則表明數據庫已被破壞。

研究表明，MongoDB暴露于互聯網時會遭受持續的攻擊。攻擊是自動進行的，不受干擾的，平均而言，不安全的數據庫在上線后不到24小時就會受到攻擊。

在連接的一分鐘內，至少會有一個蜜罐被勒索贖金。攻擊者刪除了數據庫的表，并用贖金票據代替了它們，要求用比特幣付款以恢復數據：

攻擊從何而來？

攻擊起源于全球各地，盡管攻擊者通常會隱藏其真實位置，因此通常無法確定攻擊的真正來源。最快的漏洞來自俄羅斯ISP天網的攻擊者，超過一半的漏洞源自羅馬尼亞VPS提供商的IP地址。

“很有可能記錄的一些活動是安全研究人員在為他們的入侵數據庫尋找下一個標題或數據。然而，當涉及到一個公司的安全聲譽時，數據是被惡意的攻擊者還是善意的研究人員破壞往往并不重要。” Intruder首席執行官Chris Wallis說。

“即使安全團隊可以檢測到不安全的數據庫并識別其潛在的嚴重性，在不到13小時的時間內響應并包含這種錯誤配置也可能是艱巨的任務，更不用說在9分鐘之內了。預防比治療更有效。”

一位MongoDB的發言人評論說：“我們的MongoDB社區數據庫是一個非常受歡迎的產品，全球下載量超過1億。不幸的是，并非每個安裝都遵循最佳實踐，因此，某些配置不正確。幾年前，當MongoDB首次意識到這些問題時，我們進行了產品更改，以保護開源社區產品的默認設置。結果，我們發現報告的開放數據庫數量顯著下降。目前默認的MongoDB數據庫設置都是開箱即用的安全默認設置。”