超過12000個不安全的MongoDB數(shù)據(jù)庫被名為Unistellar的攻擊者刪除

數(shù)據(jù)安全不容小視。

在過去的三周里，全球有超過12000個不安全的MongoDB數(shù)據(jù)庫被刪除。網(wǎng)絡(luò)勒索者只留下了一個電子郵件聯(lián)系，最有可能就數(shù)據(jù)恢復(fù)條款進(jìn)行談判。

攻擊者使用BinaryEdge或Shodan搜索引擎尋找暴露數(shù)據(jù)庫，然后嘗試刪除數(shù)據(jù)庫中的內(nèi)容，并通常要求贖金以換取“恢復(fù)服務(wù)”。MongoDB對此類攻擊并不陌生，此前在2017年9月，MongoDB的數(shù)據(jù)庫被黑客入侵，以獲取贖金。

此外，本月早些時候，安全發(fā)現(xiàn)研究人員Bob Diachenko發(fā)現(xiàn)了一個不受保護(hù)的MongoDB數(shù)據(jù)庫，暴露了2.75億印度公民的個人記錄。該記錄包含了詳細(xì)的個人身份信息，如姓名、性別、出生日期、電子郵件、手機號碼等。這些信息在互聯(lián)網(wǎng)上暴露且未受保護(hù)超過兩個多星期。

最近對MongoDB數(shù)據(jù)庫的攻擊是由獨立安全研究員Sanyam Jain發(fā)現(xiàn)的。Sanyam第一次注意到攻擊是在4月24日，當(dāng)時他首先發(fā)現(xiàn)了一個刪除的MongoDB數(shù)據(jù)庫。他沒有找到大量泄露的數(shù)據(jù)，而是發(fā)現(xiàn)了一條信息，上面寫著:“Restore ? Contact : unistellar@yandex.com”。

后來發(fā)現(xiàn)，網(wǎng)絡(luò)勒索者留下了贖金信息，如果他們想恢復(fù)數(shù)據(jù)，可以聯(lián)系他。提供了兩個相同的電子郵件地址:unistellar@hotmail.com或unistellar@yandex.com。這種查找和刪除大量數(shù)據(jù)庫的方法預(yù)計將由攻擊者自動完成。用于連接到可公開訪問的MongoDB數(shù)據(jù)庫的腳本或程序也被配置為不加區(qū)別地刪除它能找到的每一個不安全的MongoDB，然后留下勒索信息。

Jain還告訴Bleeping Computer，Unistellar似乎還準(zhǔn)備了恢復(fù)的程序，以便隨時恢復(fù)他所刪除的數(shù)據(jù)庫。

Bleeping Computer表示，無法追蹤受害者是否一直在為數(shù)據(jù)庫的恢復(fù)付費，因為unistar只提供了可以聯(lián)系的電子郵件，而且沒有提供加密貨幣地址。BleepingComputer也試圖與unistar取得聯(lián)系，以確認(rèn)被刪除的MongoDB數(shù)據(jù)庫是否確實備份了，以及是否有受害者已經(jīng)為他們的“恢復(fù)服務(wù)”付費，但沒有得到任何回應(yīng)。

如何保護(hù)MongoDB數(shù)據(jù)庫

MongoDB數(shù)據(jù)庫是遠(yuǎn)程訪問的，對它們的訪問沒有得到適當(dāng)?shù)谋Ｗo(hù)。這些頻繁的攻擊凸顯了有效保護(hù)數(shù)據(jù)的必要性。這可以通過以下相當(dāng)簡單的步驟來實現(xiàn)，這些步驟旨在正確地保護(hù)數(shù)據(jù)庫。用戶應(yīng)該采取簡單的預(yù)防措施，啟用身份驗證，并且不允許遠(yuǎn)程訪問數(shù)據(jù)庫。

MongoDB還提供了詳細(xì)的安全手冊。它包含各種特性，例如身份驗證、訪問控制、加密，以確保MongoDB部署的安全性。管理員還可以使用安全檢查表來保護(hù)MongoDB部署。該列表討論了執(zhí)行身份驗證的正確方法、啟用基于角色的訪問控制、加密通信、限制網(wǎng)絡(luò)暴露以及有效保護(hù)MongoDB數(shù)據(jù)庫的許多因素。

保護(hù)數(shù)據(jù)安全一直在路上......