據(jù)外媒報(bào)道,在過去的三周時(shí)間內(nèi),超過 12000 個(gè)不安全的 MongoDB 數(shù)據(jù)庫受到攻擊,并被刪除,攻擊者只留下了一條信息:想要恢復(fù)數(shù)據(jù),數(shù)據(jù)庫所有者必須聯(lián)系攻擊者。
MongoDB 再遭攻擊,12000 個(gè)數(shù)據(jù)庫被刪除!
據(jù)外媒報(bào)道,在過去的三周時(shí)間內(nèi),超過 12000 個(gè)不安全的 MongoDB
數(shù)據(jù)庫受到攻擊,并被刪除,攻擊者只留下了一條信息:想要恢復(fù)數(shù)據(jù),數(shù)據(jù)庫所有者必須聯(lián)系攻擊者。
這種規(guī)模的 MongoDB 數(shù)據(jù)庫攻擊并不是第一次,但是之前攻擊者通過 BinaryEdge 或者 Shodan
搜索引擎找到了暴露的數(shù)據(jù)庫服務(wù)器,就會刪除該數(shù)據(jù)庫,并向數(shù)據(jù)庫所有者索取贖金。而這次攻擊者雖然采用了 Mongo Lock 來攻擊遠(yuǎn)程可訪問且不受保護(hù)的
MongoDB 數(shù)據(jù)庫,并刪去了數(shù)據(jù)庫中的內(nèi)容,但奇怪的是,攻擊者只留下了電子郵件的地址,并沒有指定贖金的金額。
本次攻擊事件的發(fā)現(xiàn)者、獨(dú)立安全研究員 Sanyam Jain 認(rèn)為,攻擊者這么做,很可能是想要根據(jù)數(shù)據(jù)庫的敏感性來進(jìn)行不同等級的收費(fèi)。
有點(diǎn)特別的攻擊:只留聯(lián)系方式,不說贖金數(shù)額
研究人員使用 BinaryEdge 發(fā)現(xiàn)了被 Unistellar 刪除的 12564 個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù)庫,而在 Shodan
中只發(fā)現(xiàn)了 7656 個(gè)數(shù)據(jù)庫,這可能是因?yàn)椴樵儽蛔枞?
Jain 表示:“鑒于目前 BinaryEdge 對 63000 多臺可公開訪問的 MongoDB 服務(wù)器進(jìn)行了索引,Unistellar
攻擊者似乎已經(jīng)減少了大約 20%。”4 月 24 日,研究人員第一次發(fā)現(xiàn)了被刪除的 MongoDB
數(shù)據(jù)庫,攻擊者留下了一條信息:“想要恢復(fù)數(shù)據(jù)庫嗎?請聯(lián)系:unistellar@yandex.com。”
使用 BinaryEdge 找到的被刪除的 MongoDB 數(shù)據(jù)庫
目前攻擊者用來查找和刪除如此大量數(shù)據(jù)庫的方法還尚不清楚,但是整個(gè)過程很可能是完全自動化的。在連接到 Internet 上任何一個(gè)未受保護(hù)且可公開訪問的
MongoDB 數(shù)據(jù)庫之后,用于執(zhí)行此操作的腳本或程序?qū)h除能夠找到的每一個(gè)不安全數(shù)據(jù)庫,然后添加贖金表。
據(jù) Jain 所說,Unistellar 攻擊者似乎創(chuàng)建了恢復(fù)點(diǎn),以便于能夠恢復(fù)已刪除的數(shù)據(jù)庫。但是,由于 Unistellar
只提供了電子郵件這一個(gè)聯(lián)系方式,并沒有提供加密貨幣地址,所以無法跟蹤受害者是否為了恢復(fù)數(shù)據(jù)庫而付費(fèi)。為了確認(rèn)被刪除的 MongoDB
數(shù)據(jù)庫是否真的備份,避免有受害者支付了贖金卻沒有恢復(fù)數(shù)據(jù),BleepingComputer 還特意嘗試與 Unistellar 取得聯(lián)系。
無獨(dú)有偶,Unistellar 組織疑似再出手
5 月 1 日,安全研究員 Bob Diachenko 發(fā)現(xiàn)了一個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù),暴露了 275265298
條印度公民記錄,具體包含了詳細(xì)的個(gè)人身份信息,在網(wǎng)絡(luò)上的暴露時(shí)間超過 2 周。Bob Diachenko 將該情況反饋給了印度 CERT
團(tuán)隊(duì),但該數(shù)據(jù)庫仍處于開放和可搜索的狀態(tài)。但是到了 5 月 8 日,該數(shù)據(jù)庫被一個(gè)名為“Unistellar”的黑客組織刪除了。
刪除之后,Bob Diachenko 發(fā)現(xiàn)了他們留下了一條消息,這條消息與之前 Jain 發(fā)現(xiàn)的 12000+ 個(gè)被刪除數(shù)據(jù)庫所留的消息相同。
哪些數(shù)據(jù)庫會被攻擊呢?據(jù)了解,被攻擊的數(shù)據(jù)庫往往是支持遠(yuǎn)程訪問且沒有應(yīng)用正確的訪問方式。因此,數(shù)據(jù)庫所有者可以通過簡單的步驟來防止此類攻擊。MongoDB
提供了關(guān)于如何通過實(shí)施適當(dāng)?shù)纳矸蒡?yàn)證、訪問控制和加密來保護(hù)數(shù)據(jù)庫的詳細(xì)信息,同時(shí)還為管理員提供了安全檢查表 。
其實(shí),防止此類攻擊的最好的兩個(gè)措施是啟用身份驗(yàn)證和禁止遠(yuǎn)程訪問數(shù)據(jù)庫。
近期 MongoDB 數(shù)據(jù)庫被攻擊事件盤點(diǎn)
據(jù)悉,2018 年經(jīng)核實(shí)的數(shù)據(jù)泄露事件達(dá)到了 12449 起,與 2017 年相比,增加了
424%。其中大多數(shù)的泄露原因都是企業(yè)的不規(guī)范操作。本文也盤點(diǎn)了近期內(nèi)發(fā)生的 MongoDB 數(shù)據(jù)庫被攻擊事件。
未受保護(hù)的 MongoDB 數(shù)據(jù)庫暴露伊朗司機(jī)敏感信息
安全研究員 Bob Diachenko 使用 BinaryEdge
搜索引擎發(fā)現(xiàn)了名為“doroshke-invoice-production”的數(shù)據(jù)庫,該數(shù)據(jù)庫中包含了兩個(gè)發(fā)票集合,其中一個(gè)是 2017 年的發(fā)票集合,約有
740952 條記錄,另一個(gè)是 2018 年的發(fā)票集合,包含了 6031317
條記錄。記錄信息包括司機(jī)的姓名、伊朗身份證號、電話號碼和發(fā)票日期,初步判斷這些信息來自一家伊朗運(yùn)營的乘車公司。
未受保護(hù)的 MongoDB 數(shù)據(jù)庫暴露 8 億條記錄
安全研究員 Bob Diachenko 發(fā)現(xiàn)了一個(gè)未受保護(hù)的 140+GB 的 MongoDB 數(shù)據(jù)庫,其中包含了 808539939
個(gè)電子郵件記錄,甚至還包括了很多個(gè)人身份信息。據(jù)了解,這個(gè)數(shù)據(jù)庫中包含了四個(gè)獨(dú)立的記錄集合,其中最大的 mailEmailDatabase
又包含了三個(gè)文件夾,Emailrecords(798171891 條記錄)、emailWithPhone(4150600 條記錄)和
businessLeads(6217358 條記錄)。Emailrecords 文件夾中的信息包含姓名、出生日期、電子郵件、電話號碼、郵政編碼、地址、性別和
IP 地址。暴露的數(shù)據(jù)庫可能屬于一家提供企業(yè)電子郵件驗(yàn)證服務(wù)的公司 Verifications IO LLC。
未受保護(hù)的 MongoDB 數(shù)據(jù)庫暴露超 2 億用戶簡歷
外網(wǎng)安全研究人員 Bob Diachenko 偶然發(fā)現(xiàn)了一個(gè)未受保護(hù)的 MongoDB 數(shù)據(jù)庫服務(wù)器,整個(gè)實(shí)例包含 854GB 數(shù)據(jù),共有
202730434
條記錄,其中大部分是中國用戶簡歷,內(nèi)容非常詳細(xì),包括中文全名、家庭住址、電話號碼、電子郵件、婚煙狀況、政治關(guān)系、期望薪水等內(nèi)容。根據(jù)多方查證發(fā)現(xiàn),已刪除應(yīng)用的簡歷主要來源之一是
bj.58.com,Diachenko 與 bj.58.com 工作人員聯(lián)系時(shí),他們也給出了初步評估,確定數(shù)據(jù)來自第三方應(yīng)用泄露,并非官方泄露。
未受保護(hù)的 MongoDB 數(shù)據(jù)庫暴露 6600 萬個(gè)人信息
據(jù)外媒報(bào)道,在某個(gè)未受保護(hù)的數(shù)據(jù)庫中發(fā)現(xiàn)了超 6600 萬個(gè)個(gè)人信息,這些信息看起來像是從 LinkedIn
配置文件中提取到的數(shù)據(jù)。緩存中包含可以識別用戶的個(gè)人詳細(xì)信息,而這可能幫助攻擊者創(chuàng)建更難識別的網(wǎng)絡(luò)釣魚攻擊。據(jù) Bob Diachenko
稱,泄露的數(shù)據(jù)包括用戶全名、個(gè)人或企業(yè)電子郵箱、用戶的詳細(xì)位置信息、電話號碼以及工作經(jīng)歷等等,甚至還包括了 LinkedIn 個(gè)人資料的鏈接。
河南億恩科技股份有限公司(www.czbl888.cn)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900
