22900 个 MongoDB 数据被勒索，黑客威胁要联系 GDPR 权威机构

黑客曾试图勒索近47%的暴露在网络上的MongoDB数据库。

一名黑客在没有密码的情况下，向22900个MongoDB数据库上传了赎金记录，这个数字约占在线可访问MongoDB数据库总数的47%。

黑客使用自动脚本扫描配置错误的MongoDB数据库，删除其中的内容，并留下一张索要0.015比特币(约合140美元)赎金的纸条。

攻击者给公司两天的时间付款，并威胁要泄露他们的数据，然后联系受害者当地的数据保护法规执行机构（GDPR）报告他们的数据泄露。

早在2020年4月，就有人发现了植入赎金条的攻击。

GDI基金会的安全研究员Victor Gevers说，最初的攻击不包括数据清除步骤。

攻击者一直连接到相同的数据库，留下赎金条，然后几天后再次返回，留下同一赎金条的另一份副本。

但是Gevers说，攻击者似乎已经意识到他们在脚本中犯了一个错误。从昨天开始，黑客已经纠正了他们的脚本，他们现在正在清理MongoDB数据库。

Gevers说，尽管其中一些数据库是测试实例，但一些生产系统也遭到了攻击，攻击者已经删除了登台数据。

作为在GDI基金会工作的一部分，Gevers向公司报告了服务器的暴露，他说早些时候在检查MongoDB系统时，他注意到清除系统，他汇报了此情况并得到了安全保护。

“我只能报告一次数据泄露。正常情况下，我至少可以做5到10次。”Gevers说。

类似的袭击自2016年底以来就一直在发生

然而，这些“MongoDB清除&赎金”攻击本身并不是新的。Gevers发现的攻击只是始于2016年12月的一系列攻击的最新阶段，当时黑客就意识到他们可以通过清除MongoDB服务器，并留下赎金要求来欺骗那些拼命想要回他们文件的服务器所有者，从而大赚一笔。

2017年1月，2.8万台服务器在一系列攻击中被赎回，2017年9月，2.6万台服务器被赎回，2019年2月，3000台服务器被赎回。

早在2017年，MongoDB公司产品安全高级总监Davi Ottenheimer就指责这些攻击是有理由的——数据库所有者没有为他们的数据库设置密码，然后让他们的服务器在没有防火墙的情况下暴露在网络上。

三年过去了，一切似乎都没有改变。从2017年初暴露在网络上的6万台MongoDB服务器，到现在数量几乎没有增加到4.8万台，并且其中大多数服务器都没有启用身份验证。

大多数时候，这些服务器的出错都是在管理员遵循不正确的MongoDB配置教程来配置系统时犯下的，或者使用服务器映像打包了一个错误配置的MongoDB系统开箱即用之后就暴露出来了。

目前默认的MongoDB数据库设置已经自带了安全的默认设置，但是尽管如此，我们每天仍然有成千上万的服务器因为这样或那样的原因被暴露在网上。对于服务器管理员寻找保护MongoDB服务器的正确方式，MongoDB安全页面是能得到正确建议的一个好地方。