黑客勒索了 23000个 MongoDB 数据库,并威胁要联系GDPR当局

作者:安数网络 发布时间:2020-07-03 17:59:30 浏览次数:95

据zdnet近日获悉,一名黑客在网上公开的 22900 个 MongoDB 数据库中上传了勒索单,这个数字大约占在线访问的所有 MongoDB 数据库的 47%。

黑客正在使用自动脚本来扫描配置错误的 MongoDB 数据库,清除其内容后,并留下一张勒索单,要求支付 0.015 比特币(约合 140 美元)。

 

 攻击者给公司两天的时间付款,并威胁要泄露他们的数据,然后联系受害者当地的《通用数据保护条例(GDPR)》执法机构来报告他们的数据泄露。

 早在 2020 年 4 月,就已经出现了植入该勒索赎金单的攻击事件。

 某项目的安全研究员Victor Gevers在接受电话采访时表示,最初的攻击不包括数据擦除步骤。

 攻击者一直连接到同一个数据库,留下赎金记录,几天后再次返回,留下同一张勒索单的另一份副本。

  


但是 Gevers 今天表示,攻击者似乎已经意识到他们在脚本中犯了一个错误。从7月1号开始,黑客已经修改了他们的脚本,现在正在清理 MongoDB 数据库。

虽然这些数据库中的一些似乎是测试实例,但 Gevers 说,一些生产系统也受到了攻击,现在已经删除了暂存数据。

自 2016 年底以来,类似的袭击事件也发生过。然而,这些“MongoDB 擦除和勒索”攻击本身并不是什么新鲜事。Gevers 今天发现的攻击只是 2016 年 12 月开始的一系列攻击的最新阶段,当时黑客意识到他们可以通过擦除 MongoDB 服务器并留下赎金要求,欺骗急于取回文件的服务器用户,从而赚钱。

2017 年 1 月,超过 2.8 万台服务器在一系列攻击中被勒索,2017 年 9 月又发生了 2.6 万台,2019 年 2 月又发生了 3000 台。

早在 2017 年,MongoDB,Inc. 产品安全高级主管 Davi Ottenheimer 就将攻击归咎于数据库使用者未能为数据库设置密码,然后在没有防火墙的情况下将服务器暴露在网络上。

差不多三年后,一切似乎都没有改变。从 2017 年初在线曝光的 60000 台 MongoDB 服务器来看到如今,几乎没有转移到 48000 台暴露的服务器上,其中大多数没有启用身份验证。

大多数情况下,用户会在这些服务器上使用错误的 MongoDB 配置教程、在配置系统时犯下错误、或者使用默认安装,配置出错误的 MongoDB 系统打包在一起的服务器映像,而在线暴露。

目前,默认的 MongoDB 数据库设置带有现成的安全默认设置,但是尽管如此,我们仍然有成千上万的服务器由于某种原因每天在线暴露。对于希望以适当方式保护其 MongoDB 服务器的服务器管理员来说,MongoDB 安全页面是获得正确建议的最佳起点。


来源:zdnet

及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用