過去幾週以來,全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除,而使用者若想復原這些資料庫,就必須支付贖金給歹徒。
這樣的勒贖事件並非第一次出現,MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出,這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎,發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現,這些攻擊的背後主謀很可能是 Unistellar 駭客團體。
Jain 最早是在四月份開始注意到這些攻擊,他發現有某個遭到清除的 MongoDB 資料庫當中含有一封簡短的勒索訊息。在經過進一步的追查之後,他發現了更多被清除的資料庫,以及兩個歹徒留下的電子郵件地址,這些地址指向 Unistellar 駭客集團。
該報告指出,駭客很可能是利用 BinaryEdge 和 Shodan 這類搜尋引擎來找尋暴露在網路上的 MongoDB 資料庫,並且採用自動化攻擊。其自動化腳本在找到並連上這些缺乏安全保護的資料庫之後,就會將資料庫清除。而且在清除資料之前會先建立還原點,以便能在受害者支付贖金之後將資料還原。之前的 MongoDB 攻擊案例都直接要求受害者支付一定比特幣 (bitcoin) 的贖金,但最近的這起攻擊卻只留下電子郵件聯絡地址,以便受害者能和歹徒聯繫並商量贖金。
在這份報告出爐之前幾星期,印度才發生過多起 MongoDB 相關的隱私侵犯事件。今年四月曾經發生一起某公開資料庫洩漏了 1,250 萬筆孕婦資料的事件;五月份也有報導指出有 2.75 億筆資料遭 Unistellar 集團清除。
如何確保資料庫安全?
近來頻傳的資料庫受害事件突顯出有效資安防護的重要性。資料庫持有人應該知道這些案件其實是可以預防的,只要妥善加強資料庫的安全就能防範這類攻擊。使用者可參閱這份資安檢核表來強化 MongoDB 安全。這份檢核表列出了一些確保資料庫安全的作法,包括:強制使用驗證、啟用存取控管、盡量避免暴露在網際網路上等等,全都是確保資料庫安全的必要措施。
凡是部署在公開網路上的資料庫,一定都會面臨相當程度的風險。企業若真的必須這麼做,就應該徹底了解自己有甚麼樣的解決之道 (包括技術和服務) 來確保資料庫安全。企業可考慮限制前端發送資料庫查詢的使用者權限,此外,每次的連線階段也應使用非重複識別碼 (ID),而非整個應用程式重複使用同一識別碼。
在您決定好要部署的應用程式及地點之後,應先執行一些基本測試來確保組態設定正確。如同一般部署測試一樣,您也應該執行一些基本測試來看看服務開放的存取地點是否恰當。