首页 首页 大数据 查看内容

黑客利用勒索软件攻陷MongoDB数据库,210 万条记录遭锁定

木马童年 2019-8-12 15:10 116 0

暴露在公共网络上的 MongoDB 数据库,已经成为勒索软件攻击者们的全新入侵目标。 事件回溯 近日,又一数据库落入勒索黑客手中,此次受到影响的是墨西哥著名出版商兼图书经销商 Librería Porrúa,总计 210 万条记 ...

暴露在公共网络上的 MongoDB 数据库,已经成为勒索软件攻击者们的全新入侵目标。

黑客利用勒索软件攻陷MongoDB数据库,210 万条记录遭锁定

事件回溯

近日,又一数据库落入勒索黑客手中,此次受到影响的是墨西哥著名出版商兼图书经销商 Librería Porrúa,总计 210 万条记录遭到锁定。目前尚不清楚具体多少客户受到影响,但信息记录中包含 120 万用户姓名、电子邮件地址、送货地址以及电话号码等个人信息,以及购物发票、购物车 ID、激活码、令牌、哈希卡等细节数据,另有约 95 万 8 千条个人记录在包含上述信息之外,还配有用户出生日期。

根据目前掌握的情况,此次暴露的 MongoDB 实例最早由安全研究员 Bob Diachenko 于 2019 年 7 月 15 日发现,而就在前一天,该数据库才刚刚被 Shodan 搜索引擎首次检索到。虽然,Bob Diachenko 当时立刻与该公司取得了联系,但遗憾的是犯罪分子已经发现并“清除”了该数据库,并要求受害方支付 0.05 比特币(价值约 500 美元)才同意解锁。

公开可访问的 MongoDB 数据库

据了解,与之前出现的公开数据库暴露事件一样,此次曝光的 MongoDB 实例同样允许任何互联网用户在无需身份验证的前提下自由访问,甚至可以使用两个不同的 IP 地址进行对接。

根据 Diachenko 的介绍,当犯罪分子访问到此类数据库后,施以勒索将只是时间问题。即使攻击者最终交回数据,其仍有可能将信息复制一遍并保存在别处。

公开访问模式之前就有不少文章曾反复提到,MongoDB 的一大风险在于其旧版本或者安全性较差的某些新版本缺少远程访问身份验证机制,因此极易出现问题。Diachenko 指出:

公开配置的存在,使得网络犯罪分子能够以完整管理权限指挥整个系统。一旦将恶意软件部署到位,犯罪分子就能够远程访问服务器资源,甚至启动代码执行以窃取或者完全销毁服务器中所存放的任何原有数据。

这个问题长期以来一直存在,甚至曾在 2017 年引发过一场影响超过 2700 万个 MongoDB 安装实例的攻击潮。

如何保护数据信息?

如果你是 MongoDB 的用户,首先请确保对数据进行备份,为数据库安装补丁及更新,同时认真阅读 MongoDB 使用手册中的安全章节。务必使用身份验证机制。此外:

使用强密码,永远不要重复使用密码。

定期备份数据。这可能是抵御勒索攻击的最后一道防线。请确保离线保存数据,让攻击者无法接触这些资源。

尽早安装补丁,定期安装补丁。WannaCry 以及 NotPetya 等勒索软件正是通过未得到修复的漏洞传播至全球各地。

锁定远程桌面协议(RDP)。犯罪团伙往往利用弱 RDP 凭证发动有针对性的勒索软件攻击。如果不需要,请关闭 RDP;如果需要,请配合速率限制、双因素验证或者 VPN。

使用反勒索软件保护方案。Sophos Intercept X 和 XG Firewall 专为抵御勒索软件及其影响而生。个人用户则可选择使用 Sophos Home。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

数据库 搜索引擎 互联网 安全性 数据信息
0
为您推荐
大数据技术改变城市的运作方式,智慧城市呼之欲出

大数据技术改变城市的运作方式,智慧城市呼

纽奥良虽像大多数城市一样有火灾侦测器安装计划,但直到最近还是要由市民主动申装。纽…...

大数据分析面临生死边缘,未来之路怎么走?

大数据分析面临生死边缘,未来之路怎么走?

大数据分析开始朝着营销落地,尤其像数果智能这类服务于企业的大数据分析供应商,不仅…...

什么是工业大数据,要通过3B和3C来理解?

什么是工业大数据,要通过3B和3C来理解?

核心提示:工业视角的转变如果说前三次工业革命分别从机械化、规模化、标准化、和自动…...

大数据普及为什么说肥了芯片厂商?

大数据普及为什么说肥了芯片厂商?

科技界默默无闻的存在,芯片行业年规模增长到了3520亿美元。半导体给无人驾驶汽车带来…...

大数据技术有哪些,为什么说云计算能力是大数据的根本!

大数据技术有哪些,为什么说云计算能力是大

历史规律告诉我们,任何一次大型技术革命,早期人们总是高估它的影响,会有一轮一轮的…...

个人征信牌照推迟落地,大数据 重新定义个人信用!!

个人征信牌照推迟落地,大数据 重新定义个

为金融学的基础正日益坚实。通过互联网大数据精准记录海量个人行为,进而形成分析结论…...