数据库设置不当,导致黑客能趁机下手攻击的事件,最近2到3年可说是时有耳闻,有媒体指出,现在又有新一波的攻击行动。根据ZDNet的报道,不知名的黑客自今年4月开始,发动一波攻击,他们针对网络上没有设置密码保护的MongoDB数据库,清空内容并留下勒索消息,受害的数据库多达22,900个,大约占网络上公开MongoDB数据库的47%。不过,ZDNet并未提及如何发现这起攻击行动,安全厂商ESET与BitDefender引述他们的报道后,也没有进一步提供相关的证据。
虽然此起针对MongoDB数据库的攻击行动,真实性有待察证,然而近期安全人员陆续披露,因管理者设置不当,导致任何人都能随意访问这类数据库的情况,因此这次的事件仍然值得我们留意相关发展。根据ZDNet指出,在这次的事件中,无论是找出设置不当的MongoDB数据库,清除其中的内容,还是最后留下勒索消息,黑客都是使用自动指令集来进行。
从黑客留下的消息来看,他们要求数据库的所有者支付0.015个比特币,相当于140美元,限期在2天内付款。黑客扬言,要是受害者没有如期支付比特币,他们不只会对外公开数据库的资料,还会向当地GDPR执法单位通报资料外泄事件,让受害单位面临高额罚款或是牢狱之灾。而这样的勒索消息,ZDNet最早在今年的4月发现。
在ZDNet披露的MongoDB数据库攻击事件里,黑客留下了勒索消息,大意是受害者想要拿回数据库,必须将0.015个比特币于48小时内,存入指定账户,如果不打算付钱,那么黑客会把数据库内容公开在网络上,并且通报当地的GDPR主管机关资料外泄事件,让受害者面临重罚。黑客也要求受害者付赎金后,发一封电子邮件请他们解锁。
ZDNet为了佐证披露的事件确有其事,他们也征询了GDI基金会安全研究员Victor Gevers的看法,而这名研究员披露更多细节,显然对于本次的攻击行动他也有所掌握。
Victor Gevers表示,根据他的观察,这一波攻击在发动的初期,黑客没有清除被入侵的数据库内容,而是连续数天不断上传勒索消息到数据库,要求数据库的所有者付赎金。但直到6月30日,黑客调整了自动指令集内容之后,他们发动的攻击就会一并清除数据库内容。对此,Victor Gevers也从7月1日开始,通知这些数据库被清空的受害者。