黑客利用勒索软件攻陷图书经销商的 MongoDB 数据库

暴露在公共网络上的 MongoDB 数据库，已经成为勒索软件攻击者们的全新入侵目标。

事件回溯

近日，又一数据库落入勒索黑客手中，此次受到影响的是墨西哥著名出版商兼图书经销商 Librería Porrúa，总计 210 万条记录遭到锁定。目前尚不清楚具体多少客户受到影响，但信息记录中包含 120 万用户姓名、电子邮件地址、送货地址以及电话号码等个人信息，以及购物发票、购物车 ID、激活码、令牌、哈希卡等细节数据，另有约 95 万 8 千条个人记录在包含上述信息之外，还配有用户出生日期。

根据目前掌握的情况，此次暴露的 MongoDB 实例最早由安全研究员 Bob Diachenko 于 2019 年 7 月 15 日发现，而就在前一天，该数据库才刚刚被 Shodan 搜索引擎首次检索到。虽然，Bob Diachenko 当时立刻与该公司取得了联系，但遗憾的是犯罪分子已经发现并“清除”了该数据库，并要求受害方支付 0.05 比特币（价值约 500 美元）才同意解锁。

公开可访问的 MongoDB 数据库

据了解，与之前出现的公开数据库暴露事件一样，此次曝光的 MongoDB 实例同样允许任何互联网用户在无需身份验证的前提下自由访问，甚至可以使用两个不同的 IP 地址进行对接。

根据 Diachenko 的介绍，当犯罪分子访问到此类数据库后，施以勒索将只是时间问题。即使攻击者最终交回数据，其仍有可能将信息复制一遍并保存在别处。

公开访问模式之前就有不少文章曾反复提到，MongoDB 的一大风险在于其旧版本或者安全性较差的某些新版本缺少远程访问身份验证机制，因此极易出现问题。Diachenko 指出：

公开配置的存在，使得网络犯罪分子能够以完整管理权限指挥整个系统。一旦将恶意软件部署到位，犯罪分子就能够远程访问服务器资源，甚至启动代码执行以窃取或者完全销毁服务器中所存放的任何原有数据。

这个问题长期以来一直存在，甚至曾在 2017 年引发过一场影响超过 2700 万个 MongoDB 安装实例的攻击潮。

如何保护数据信息？

如果你是 MongoDB 的用户，首先请确保对数据进行备份，为数据库安装补丁及更新，同时认真阅读 MongoDB 使用手册中的 安全章节 。务必使用身份验证机制。此外：

• 使用强密码，永远不要重复使用密码。
• 定期备份数据。这可能是抵御勒索攻击的最后一道防线。请确保离线保存数据，让攻击者无法接触这些资源。
• 尽早安装补丁，定期安装补丁。WannaCry 以及 NotPetya 等勒索软件正是通过未得到修复的漏洞传播至全球各地。
• 锁定远程桌面协议（RDP）。犯罪团伙往往利用弱 RDP 凭证发动有针对性的勒索软件攻击。如果不需要，请关闭 RDP；如果需要，请配合速率限制、双因素验证或者 VPN。
• 使用反勒索软件保护方案。Sophos Intercept X 和 XG Firewall 专为抵御勒索软件及其影响而生。个人用户则可选择使用 Sophos Home。