MongoDB 再遭攻擊，12000 個數據庫被刪除!

據外媒報道，在過去的三周時間內，超過 12000 個不安全的 MongoDB 數據庫受到攻擊，并被刪除，攻擊者只留下了一條信息：想要恢復數據，數據庫所有者必須聯系攻擊者。

這種規模的 MongoDB 數據庫攻擊并不是第一次，但是之前攻擊者通過 BinaryEdge 或者 Shodan 搜索引擎找到了暴露的數據庫服務器，就會刪除該數據庫，并向數據庫所有者索取贖金。而這次攻擊者雖然采用了 Mongo Lock 來攻擊遠程可訪問且不受保護的 MongoDB 數據庫，并刪去了數據庫中的內容，但奇怪的是，攻擊者只留下了電子郵件的地址，并沒有指定贖金的金額。

本次攻擊事件的發現者、獨立安全研究員 Sanyam Jain 認為，攻擊者這么做，很可能是想要根據數據庫的敏感性來進行不同等級的收費。

有點特別的攻擊：只留聯系方式，不說贖金數額

研究人員使用 BinaryEdge 發現了被 Unistellar 刪除的 12564 個未受保護的 MongoDB 數據庫，而在 Shodan 中只發現了 7656 個數據庫，這可能是因為查詢被阻塞。

Jain 表示：“鑒于目前 BinaryEdge 對 63000 多臺可公開訪問的 MongoDB 服務器進行了索引，Unistellar 攻擊者似乎已經減少了大約 20%?！? 月 24 日，研究人員第一次發現了被刪除的 MongoDB 數據庫，攻擊者留下了一條信息：“想要恢復數據庫嗎?請聯系：unistellar@yandex.com。”

使用 BinaryEdge 找到的被刪除的 MongoDB 數據庫

目前攻擊者用來查找和刪除如此大量數據庫的方法還尚不清楚，但是整個過程很可能是完全自動化的。在連接到 Internet 上任何一個未受保護且可公開訪問的 MongoDB 數據庫之后，用于執行此操作的腳本或程序將會刪除能夠找到的每一個不安全數據庫，然后添加贖金表。

據 Jain 所說，Unistellar 攻擊者似乎創建了恢復點，以便于能夠恢復已刪除的數據庫。但是，由于 Unistellar 只提供了電子郵件這一個聯系方式，并沒有提供加密貨幣地址，所以無法跟蹤受害者是否為了恢復數據庫而付費。為了確認被刪除的 MongoDB 數據庫是否真的備份，避免有受害者支付了贖金卻沒有恢復數據，BleepingComputer 還特意嘗試與 Unistellar 取得聯系。

無獨有偶，Unistellar 組織疑似再出手

5 月 1 日，安全研究員 Bob Diachenko 發現了一個未受保護的 MongoDB 數據，暴露了 275265298 條印度公民記錄，具體包含了詳細的個人身份信息，在網絡上的暴露時間超過 2 周。Bob Diachenko 將該情況反饋給了印度 CERT 團隊，但該數據庫仍處于開放和可搜索的狀態。但是到了 5 月 8 日，該數據庫被一個名為“Unistellar”的黑客組織刪除了。

刪除之后，Bob Diachenko 發現了他們留下了一條消息，這條消息與之前 Jain 發現的 12000+ 個被刪除數據庫所留的消息相同。

哪些數據庫會被攻擊呢?據了解，被攻擊的數據庫往往是支持遠程訪問且沒有應用正確的訪問方式。因此，數據庫所有者可以通過簡單的步驟來防止此類攻擊。MongoDB 提供了關于如何通過實施適當的身份驗證、訪問控制和加密來保護數據庫的詳細信息，同時還為管理員提供了安全檢查表 。

其實，防止此類攻擊的最好的兩個措施是啟用身份驗證和禁止遠程訪問數據庫。

近期 MongoDB 數據庫被攻擊事件盤點

據悉，2018 年經核實的數據泄露事件達到了 12449 起，與 2017 年相比，增加了 424%。其中大多數的泄露原因都是企業的不規范操作。本文也盤點了近期內發生的 MongoDB 數據庫被攻擊事件。

未受保護的 MongoDB 數據庫暴露伊朗司機敏感信息

安全研究員 Bob Diachenko 使用 BinaryEdge 搜索引擎發現了名為“doroshke-invoice-production”的數據庫，該數據庫中包含了兩個發票集合，其中一個是 2017 年的發票集合，約有 740952 條記錄，另一個是 2018 年的發票集合，包含了 6031317 條記錄。記錄信息包括司機的姓名、伊朗身份證號、電話號碼和發票日期，初步判斷這些信息來自一家伊朗運營的乘車公司。

未受保護的 MongoDB 數據庫暴露 8 億條記錄

安全研究員 Bob Diachenko 發現了一個未受保護的 140+GB 的 MongoDB 數據庫，其中包含了 808539939 個電子郵件記錄，甚至還包括了很多個人身份信息。據了解，這個數據庫中包含了四個獨立的記錄集合，其中最大的 mailEmailDatabase 又包含了三個文件夾，Emailrecords(798171891 條記錄)、emailWithPhone(4150600 條記錄)和 businessLeads(6217358 條記錄)。Emailrecords 文件夾中的信息包含姓名、出生日期、電子郵件、電話號碼、郵政編碼、地址、性別和 IP 地址。暴露的數據庫可能屬于一家提供企業電子郵件驗證服務的公司 Verifications IO LLC。

未受保護的 MongoDB 數據庫暴露超 2 億用戶簡歷

外網安全研究人員 Bob Diachenko 偶然發現了一個未受保護的 MongoDB 數據庫服務器，整個實例包含 854GB 數據，共有 202730434 條記錄，其中大部分是中國用戶簡歷，內容非常詳細，包括中文全名、家庭住址、電話號碼、電子郵件、婚煙狀況、政治關系、期望薪水等內容。根據多方查證發現，已刪除應用的簡歷主要來源之一是 bj.58.com，Diachenko 與 bj.58.com 工作人員聯系時，他們也給出了初步評估，確定數據來自第三方應用泄露，并非官方泄露。

未受保護的 MongoDB 數據庫暴露 6600 萬個人信息

據外媒報道，在某個未受保護的數據庫中發現了超 6600 萬個個人信息，這些信息看起來像是從 LinkedIn 配置文件中提取到的數據。緩存中包含可以識別用戶的個人詳細信息，而這可能幫助攻擊者創建更難識別的網絡釣魚攻擊。據 Bob Diachenko 稱，泄露的數據包括用戶全名、個人或企業電子郵箱、用戶的詳細位置信息、電話號碼以及工作經歷等等，甚至還包括了 LinkedIn 個人資料的鏈接。

河南億恩科技股份有限公司(www.sunshares.net)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900