據(jù)外媒報(bào)道,在過(guò)去的三周時(shí)間內(nèi),超過(guò) 12000 個(gè)不安全的 MongoDB 數(shù)據(jù)庫(kù)受到攻擊,并被刪除,攻擊者只留下了一條信息:想要恢復(fù)數(shù)據(jù),數(shù)據(jù)庫(kù)所有者必須聯(lián)系攻擊者。
MongoDB 再遭攻擊,12000 個(gè)數(shù)據(jù)庫(kù)被刪除!
據(jù)外媒報(bào)道,在過(guò)去的三周時(shí)間內(nèi),超過(guò) 12000 個(gè)不安全的 MongoDB
數(shù)據(jù)庫(kù)受到攻擊,并被刪除,攻擊者只留下了一條信息:想要恢復(fù)數(shù)據(jù),數(shù)據(jù)庫(kù)所有者必須聯(lián)系攻擊者。
這種規(guī)模的 MongoDB 數(shù)據(jù)庫(kù)攻擊并不是第一次,但是之前攻擊者通過(guò) BinaryEdge 或者 Shodan
搜索引擎找到了暴露的數(shù)據(jù)庫(kù)服務(wù)器,就會(huì)刪除該數(shù)據(jù)庫(kù),并向數(shù)據(jù)庫(kù)所有者索取贖金。而這次攻擊者雖然采用了 Mongo Lock 來(lái)攻擊遠(yuǎn)程可訪問(wèn)且不受保護(hù)的
MongoDB 數(shù)據(jù)庫(kù),并刪去了數(shù)據(jù)庫(kù)中的內(nèi)容,但奇怪的是,攻擊者只留下了電子郵件的地址,并沒(méi)有指定贖金的金額。
本次攻擊事件的發(fā)現(xiàn)者、獨(dú)立安全研究員 Sanyam Jain 認(rèn)為,攻擊者這么做,很可能是想要根據(jù)數(shù)據(jù)庫(kù)的敏感性來(lái)進(jìn)行不同等級(jí)的收費(fèi)。
有點(diǎn)特別的攻擊:只留聯(lián)系方式,不說(shuō)贖金數(shù)額
研究人員使用 BinaryEdge 發(fā)現(xiàn)了被 Unistellar 刪除的 12564 個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù),而在 Shodan
中只發(fā)現(xiàn)了 7656 個(gè)數(shù)據(jù)庫(kù),這可能是因?yàn)椴樵儽蛔枞?
Jain 表示:“鑒于目前 BinaryEdge 對(duì) 63000 多臺(tái)可公開(kāi)訪問(wèn)的 MongoDB 服務(wù)器進(jìn)行了索引,Unistellar
攻擊者似乎已經(jīng)減少了大約 20%。”4 月 24 日,研究人員第一次發(fā)現(xiàn)了被刪除的 MongoDB
數(shù)據(jù)庫(kù),攻擊者留下了一條信息:“想要恢復(fù)數(shù)據(jù)庫(kù)嗎?請(qǐng)聯(lián)系:unistellar@yandex.com。”
使用 BinaryEdge 找到的被刪除的 MongoDB 數(shù)據(jù)庫(kù)
目前攻擊者用來(lái)查找和刪除如此大量數(shù)據(jù)庫(kù)的方法還尚不清楚,但是整個(gè)過(guò)程很可能是完全自動(dòng)化的。在連接到 Internet 上任何一個(gè)未受保護(hù)且可公開(kāi)訪問(wèn)的
MongoDB 數(shù)據(jù)庫(kù)之后,用于執(zhí)行此操作的腳本或程序?qū)?huì)刪除能夠找到的每一個(gè)不安全數(shù)據(jù)庫(kù),然后添加贖金表。
據(jù) Jain 所說(shuō),Unistellar 攻擊者似乎創(chuàng)建了恢復(fù)點(diǎn),以便于能夠恢復(fù)已刪除的數(shù)據(jù)庫(kù)。但是,由于 Unistellar
只提供了電子郵件這一個(gè)聯(lián)系方式,并沒(méi)有提供加密貨幣地址,所以無(wú)法跟蹤受害者是否為了恢復(fù)數(shù)據(jù)庫(kù)而付費(fèi)。為了確認(rèn)被刪除的 MongoDB
數(shù)據(jù)庫(kù)是否真的備份,避免有受害者支付了贖金卻沒(méi)有恢復(fù)數(shù)據(jù),BleepingComputer 還特意嘗試與 Unistellar 取得聯(lián)系。
無(wú)獨(dú)有偶,Unistellar 組織疑似再出手
5 月 1 日,安全研究員 Bob Diachenko 發(fā)現(xiàn)了一個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù),暴露了 275265298
條印度公民記錄,具體包含了詳細(xì)的個(gè)人身份信息,在網(wǎng)絡(luò)上的暴露時(shí)間超過(guò) 2 周。Bob Diachenko 將該情況反饋給了印度 CERT
團(tuán)隊(duì),但該數(shù)據(jù)庫(kù)仍處于開(kāi)放和可搜索的狀態(tài)。但是到了 5 月 8 日,該數(shù)據(jù)庫(kù)被一個(gè)名為“Unistellar”的黑客組織刪除了。
刪除之后,Bob Diachenko 發(fā)現(xiàn)了他們留下了一條消息,這條消息與之前 Jain 發(fā)現(xiàn)的 12000+ 個(gè)被刪除數(shù)據(jù)庫(kù)所留的消息相同。
哪些數(shù)據(jù)庫(kù)會(huì)被攻擊呢?據(jù)了解,被攻擊的數(shù)據(jù)庫(kù)往往是支持遠(yuǎn)程訪問(wèn)且沒(méi)有應(yīng)用正確的訪問(wèn)方式。因此,數(shù)據(jù)庫(kù)所有者可以通過(guò)簡(jiǎn)單的步驟來(lái)防止此類攻擊。MongoDB
提供了關(guān)于如何通過(guò)實(shí)施適當(dāng)?shù)纳矸蒡?yàn)證、訪問(wèn)控制和加密來(lái)保護(hù)數(shù)據(jù)庫(kù)的詳細(xì)信息,同時(shí)還為管理員提供了安全檢查表 。
其實(shí),防止此類攻擊的最好的兩個(gè)措施是啟用身份驗(yàn)證和禁止遠(yuǎn)程訪問(wèn)數(shù)據(jù)庫(kù)。
近期 MongoDB 數(shù)據(jù)庫(kù)被攻擊事件盤點(diǎn)
據(jù)悉,2018 年經(jīng)核實(shí)的數(shù)據(jù)泄露事件達(dá)到了 12449 起,與 2017 年相比,增加了
424%。其中大多數(shù)的泄露原因都是企業(yè)的不規(guī)范操作。本文也盤點(diǎn)了近期內(nèi)發(fā)生的 MongoDB 數(shù)據(jù)庫(kù)被攻擊事件。
未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)暴露伊朗司機(jī)敏感信息
安全研究員 Bob Diachenko 使用 BinaryEdge
搜索引擎發(fā)現(xiàn)了名為“doroshke-invoice-production”的數(shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)中包含了兩個(gè)發(fā)票集合,其中一個(gè)是 2017 年的發(fā)票集合,約有
740952 條記錄,另一個(gè)是 2018 年的發(fā)票集合,包含了 6031317
條記錄。記錄信息包括司機(jī)的姓名、伊朗身份證號(hào)、電話號(hào)碼和發(fā)票日期,初步判斷這些信息來(lái)自一家伊朗運(yùn)營(yíng)的乘車公司。
未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)暴露 8 億條記錄
安全研究員 Bob Diachenko 發(fā)現(xiàn)了一個(gè)未受保護(hù)的 140+GB 的 MongoDB 數(shù)據(jù)庫(kù),其中包含了 808539939
個(gè)電子郵件記錄,甚至還包括了很多個(gè)人身份信息。據(jù)了解,這個(gè)數(shù)據(jù)庫(kù)中包含了四個(gè)獨(dú)立的記錄集合,其中最大的 mailEmailDatabase
又包含了三個(gè)文件夾,Emailrecords(798171891 條記錄)、emailWithPhone(4150600 條記錄)和
businessLeads(6217358 條記錄)。Emailrecords 文件夾中的信息包含姓名、出生日期、電子郵件、電話號(hào)碼、郵政編碼、地址、性別和
IP 地址。暴露的數(shù)據(jù)庫(kù)可能屬于一家提供企業(yè)電子郵件驗(yàn)證服務(wù)的公司 Verifications IO LLC。
未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)暴露超 2 億用戶簡(jiǎn)歷
外網(wǎng)安全研究人員 Bob Diachenko 偶然發(fā)現(xiàn)了一個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)服務(wù)器,整個(gè)實(shí)例包含 854GB 數(shù)據(jù),共有
202730434
條記錄,其中大部分是中國(guó)用戶簡(jiǎn)歷,內(nèi)容非常詳細(xì),包括中文全名、家庭住址、電話號(hào)碼、電子郵件、婚煙狀況、政治關(guān)系、期望薪水等內(nèi)容。根據(jù)多方查證發(fā)現(xiàn),已刪除應(yīng)用的簡(jiǎn)歷主要來(lái)源之一是
bj.58.com,Diachenko 與 bj.58.com 工作人員聯(lián)系時(shí),他們也給出了初步評(píng)估,確定數(shù)據(jù)來(lái)自第三方應(yīng)用泄露,并非官方泄露。
未受保護(hù)的 MongoDB 數(shù)據(jù)庫(kù)暴露 6600 萬(wàn)個(gè)人信息
據(jù)外媒報(bào)道,在某個(gè)未受保護(hù)的數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了超 6600 萬(wàn)個(gè)個(gè)人信息,這些信息看起來(lái)像是從 LinkedIn
配置文件中提取到的數(shù)據(jù)。緩存中包含可以識(shí)別用戶的個(gè)人詳細(xì)信息,而這可能幫助攻擊者創(chuàng)建更難識(shí)別的網(wǎng)絡(luò)釣魚攻擊。據(jù) Bob Diachenko
稱,泄露的數(shù)據(jù)包括用戶全名、個(gè)人或企業(yè)電子郵箱、用戶的詳細(xì)位置信息、電話號(hào)碼以及工作經(jīng)歷等等,甚至還包括了 LinkedIn 個(gè)人資料的鏈接。
河南億恩科技股份有限公司(www.artduck.net)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900
