MongoDB贖金事件持續發酵，究竟是誰之過？

數以萬計的個人和可能專有的數據庫被從網上刪除，替換為要求支付贖金才會返還的票據。雪上加霜的是，似乎還幾乎沒有一個已經支付贖金的受害者的數據，有得到他們丟失的文件。

MongoDB 官方團隊的回答是，MongoDB 數據庫本身是具有企業級安全性的，受攻擊 MongoDB 的實例大都是因為沒有遵照生產環境部署手冊部署的結果，這些攻擊其實完全可以通過 MongoDB 中內置的完善的安全機制來預防。

可以看到，數以萬計的組織使用 MongoDB 來存儲數據，但從近兩年曝出的情況來看，容易配置錯誤，并且使數據庫在線暴露。例如，2016 年 3 月，Verizon 企業解決方案因為一個可公開訪問的 MongoDB，泄漏了大約 150 萬客戶的聯系信息。而且有安全研究人員表示，他發現了一個巨大的開放 MongoDB 數據庫，任何人都可以通過 Shodan 搜索所有開放的 MongoDB 數據庫。

從下圖可以看到，目前在互聯網上有將近 52,000 個可公開訪問的 MongoDB 數據庫。其中最多的是在美國，其次就是中國。

正常情況下，當在 Shodan 上運行查詢以列出所有可用的 MongoDB 數據庫時，返回的是一個不同名稱的數據庫列表，以及許多具有默認文件名（如“local”）的數據庫。但是當研究員在本周早些時候進行同樣的查詢時，他注意到查詢返回的數據庫列表里多了許多額外的名稱，如“readme”、“readnow”、“encrypted”和“readplease”。這里面對應的包括聯系人電子郵件地址和/或比特幣地址和付款地址等數據庫文件。

研究員稱目前至少有 29,000 個之前在線發布的 MongoDB 數據庫已被刪除。更糟糕的是，幾乎沒有任何支付了贖金的人有收到他們的文件。

這就像綁架者一直提供贖金票據，但你卻不知道誰有真正的原始數據一樣，研究員 Merrigan 建議受害者不要支付贖金。如果確實要去付，也最好先從勒索者那里要求提供“生命證明”，即讓他們共享一個或兩個被刪除的文件，以證明他們可以恢復整個緩存。

事情發酵至今，各種說法都有。有人說：

1：如果你連接到互聯網，就會有人試圖攻擊它。

2：如果你放在互聯網上的東西有價值，就會有人投入時間和精力去竊取它。

3：組織和個人往往不愿意花費資產中的一小部分來保護的整個資產免受網絡攻擊者的威脅，讓自己安心。

編譯整理自：KrebsonSecurity.com

來自: 開源中國社區