MongoDB赎金事件持续发酵,究竟是谁之过?

jopen 8年前
   <p style="text-align: center;"><a href="/misc/goto?guid=4958998109043046511" title="mongodb"><img alt="MongoDB赎金事件持续发酵,究竟是谁之过?" src="https://simg.open-open.com/show/bf3c38818fb067d0eb588fb3bf726598.png" /></a></p>    <p>数以万计的个人和可能专有的数据库被从网上删除,替换为要求支付赎金才会返还的票据。雪上加霜的是,似乎还几乎没有一个已经支付赎金的受害者的数据,有得到他们丢失的文件。</p>    <p>MongoDB 官方团队的回答是,MongoDB 数据库本身是具有企业级安全性的,受攻击 MongoDB 的实例大都是因为没有遵照生产环境部署手册部署的结果,这些攻击其实完全可以通过 MongoDB 中内置的完善的安全机制来预防。</p>    <p>可以看到,数以万计的组织使用 MongoDB 来存储数据,但从近两年曝出的情况来看,容易配置错误,并且使数据库在线暴露。例如,2016 年 3 月,Verizon 企业解决方案因为一个可公开访问的 MongoDB,泄漏了大约 150 万客户的联系信息。而且有安全研究人员表示,他发现了一个巨大的开放 MongoDB 数据库,任何人都可以通过 Shodan 搜索所有开放的 MongoDB 数据库。</p>    <p>从下图可以看到,目前在互联网上有将近 52,000 个可公开访问的 MongoDB 数据库。其中最多的是在美国,其次就是中国。</p>    <p style="text-align:center"><img alt="MongoDB赎金事件持续发酵,究竟是谁之过?" src="https://simg.open-open.com/show/601cf3880cb73f4aff4c90a5cdc7ec04.png" width="1755" height="993" /></p>    <p>正常情况下,当在 Shodan 上运行查询以列出所有可用的 MongoDB 数据库时,返回的是一个不同名称的数据库列表,以及许多具有默认文件名(如“local”)的数据库。但是当研究员在本周早些时候进行同样的查询时,他注意到查询返回的数据库列表里多了许多额外的名称,如“readme”、“readnow”、“encrypted”和“readplease”。这里面对应的包括联系人电子邮件地址和/或比特币地址和付款地址等数据库文件。</p>    <p>研究员称目前至少有 29,000 个之前在线发布的 MongoDB 数据库已被删除。更糟糕的是,几乎没有任何支付了赎金的人有收到他们的文件。</p>    <p style="text-align:center"><img alt="MongoDB赎金事件持续发酵,究竟是谁之过?" src="https://simg.open-open.com/show/221a41819d209ddde855964ea8bad730.png" width="940" height="486" /></p>    <p>这就像绑架者一直提供赎金票据,但你却不知道谁有真正的原始数据一样,研究员 Merrigan 建议受害者不要支付赎金。如果确实要去付,也最好先从勒索者那里要求提供“生命证明”,即让他们共享一个或两个被删除的文件,以证明他们可以恢复整个缓存。</p>    <p>事情发酵至今,各种说法都有。有人说:</p>    <p>1:如果你连接到互联网,就会有人试图攻击它。</p>    <p>2:如果你放在互联网上的东西有价值,就会有人投入时间和精力去窃取它。</p>    <p>3:组织和个人往往不愿意花费资产中的一小部分来保护的整个资产免受网络攻击者的威胁,让自己安心。</p>    <p>编译整理自:<a href="/misc/goto?guid=4958998109142902491">KrebsonSecurity.com</a></p>    <p>来自: <a href="/misc/goto?guid=4958998109234490074" id="link_source2">开源中国社区</a></p>