暴露在公共網絡上的 MongoDB 數據庫，已經成為勒索軟件攻擊者們的全新入侵目標。

?

?

事件回溯

近日，又一數據庫落入勒索黑客手中，此次受到影響的是墨西哥著名出版商兼圖書經銷商 Librería Porrúa，總計 210 萬條記錄遭到鎖定。目前尚不清楚具體多少客戶受到影響，但信息記錄中包含 120 萬用戶姓名、電子郵件地址、送貨地址以及電話號碼等個人信息，以及購物發票、購物車 ID、激活碼、令牌、哈希卡等細節數據，另有約 95 萬 8 千條個人記錄在包含上述信息之外，還配有用戶出生日期。

根據目前掌握的情況，此次暴露的 MongoDB 實例最早由安全研究員 Bob Diachenko 于 2019 年 7 月 15 日發現，而就在前一天，該數據庫才剛剛被 Shodan 搜索引擎首次檢索到。雖然，Bob Diachenko 當時立刻與該公司取得了聯系，但遺憾的是犯罪分子已經發現并“清除”了該數據庫，并要求受害方支付 0.05 比特幣(價值約 500 美元)才同意解鎖。

公開可訪問的 MongoDB 數據庫

據了解，與之前出現的公開數據庫暴露事件一樣，此次曝光的 MongoDB 實例同樣允許任何互聯網用戶在無需身份驗證的前提下自由訪問，甚至可以使用兩個不同的 IP 地址進行對接。

根據 Diachenko 的介紹，當犯罪分子訪問到此類數據庫后，施以勒索將只是時間問題。即使攻擊者最終交回數據，其仍有可能將信息復制一遍并保存在別處。

公開訪問模式之前就有不少文章曾反復提到，MongoDB 的一大風險在于其舊版本或者安全性較差的某些新版本缺少遠程訪問身份驗證機制，因此極易出現問題。Diachenko 指出：

公開配置的存在，使得網絡犯罪分子能夠以完整管理權限指揮整個系統。一旦將惡意軟件部署到位，犯罪分子就能夠遠程訪問服務器資源，甚至啟動代碼執行以竊取或者完全銷毀服務器中所存放的任何原有數據。

這個問題長期以來一直存在，甚至曾在 2017 年引發過一場影響超過 2700 萬個 MongoDB 安裝實例的攻擊潮。

如何保護數據信息?

如果你是 MongoDB 的用戶，首先請確保對數據進行備份，為數據庫安裝補丁及更新，同時認真閱讀 MongoDB 使用手冊中的安全章節。務必使用身份驗證機制。此外：

使用強密碼，永遠不要重復使用密碼。

定期備份數據。這可能是抵御勒索攻擊的最后一道防線。請確保離線保存數據，讓攻擊者無法接觸這些資源。

盡早安裝補丁，定期安裝補丁。WannaCry 以及 NotPetya 等勒索軟件正是通過未得到修復的漏洞傳播至全球各地。

鎖定遠程桌面協議(RDP)。犯罪團伙往往利用弱 RDP 憑證發動有針對性的勒索軟件攻擊。如果不需要，請關閉 RDP;如果需要，請配合速率限制、雙因素驗證或者 VPN。

使用反勒索軟件保護方案。Sophos Intercept X 和 XG Firewall 專為抵御勒索軟件及其影響而生。個人用戶則可選擇使用 Sophos Home。