黑客勒索23000个MongoDB数据库，不交钱就泄露数据

黑客利用自动化脚本扫描配置错误的23000个MongoDB数据库，删除数据后留下勒索信息，要求支付0.015比特币（约140美元），并威胁不支付则泄露数据并联系GDPR监管机构。

事件核心：黑客针对暴露的MongoDB数据库的勒索行动
黑客通过自动化脚本扫描未正确配置的MongoDB数据库，删除数据后植入勒索信息，要求受害者在两天内支付赎金（0.015比特币，约140美元）。若未支付，黑客威胁泄露数据，并联系受害者所在地的GDPR监管机构报告数据泄露事件，以此施压。此次事件中，2.29万个被勒索的数据库占网上暴露的MongoDB数据库的47%，部分为生产系统，影响范围广泛。

攻击手段的演变：从“留痕”到“清库”
攻击初期，黑客仅在数据库中留下赎金记录，未删除数据；后修正脚本，实际清除数据以增加勒索成功率。网络安全研究者Victor Gevers指出，攻击者通过多次返回数据库留下赎金记录副本，意识到脚本错误后优化攻击方式，最终发展为彻底删除数据。
历史案例：MongoDB勒索事件的反复上演
2016-2017年“MongoDB启示录”：黑客组织Harak1r1利用配置漏洞，清除公开MongoDB数据库数据并索要赎金。初始受影响数据库约200个，数日内增至1万余台，赎金从0.2比特币（约184美元）升至1比特币（约906美元）。
2017年9月大规模攻击：三个黑客团伙劫持2.6万余台服务器，单次攻击破坏性显著上升。MongoDB产品安全主管Davi Ottenheimer指出，事件主因是数据库未设置密码且服务器未配置防火墙。
长期暴露问题未解：2017年初约6万台MongoDB服务器暴露，2020年仍有4.8万台未启用身份验证，暴露数量居高不下。

MongoDB安全漏洞的根源
默认配置缺陷：MongoDB默认部署无需身份验证，攻击者可通过互联网直接访问并获取全部权限。设计初衷是简化部署以提高运行速度，但未充分考虑安全性。
官方文档误导：身份验证、传输加密、网络配置等安全指南不规范，易使管理员操作失误。
测试环境忽视安全：部分MongoDB环境为单一项目或测试搭建，搭建者未重视安全问题，导致生产系统沿用不安全配置。
用户安全意识薄弱：程序员为快速开发应用，常忽略默认鉴权设置，系统上线后未启用密码保护，如同“未锁门的房子”。
安全建议：防范MongoDB勒索的关键措施
启用身份验证：为MongoDB设置强密码，避免使用默认无鉴权模式。
配置防火墙与网络隔离：限制数据库访问IP，仅允许可信来源连接。
定期备份数据：将备份存储于离线环境，防止攻击者同时删除主数据与备份。
更新至最新版本：及时修复已知漏洞，降低被攻击风险。
参考官方安全指南：遵循MongoDB官方文档规范配置安全选项，避免误导性操作。

事件警示：数据安全不可忽视
MongoDB勒索事件反复发生，暴露了默认配置缺陷与用户安全意识不足的双重问题。对任何使用MongoDB的组织而言，数据泄露或删除的损失远超赎金成本。唯有从配置、管理、维护全流程强化安全措施，才能有效抵御此类攻击。

热门标签