据外媒ZDNet报道，2.29万在网上暴露的MongoDB数据库被黑客勒索。据悉，这名黑客利用一个自动化脚本扫描配置错误的MongoDB数据库，删除数据库中的内容，然后留下一条勒索信息，要求用户支付0.015比特币（相当于140美元）。

这名攻击者给数据库所有者两天时间来支付赎金。如果不支付赎金，攻击者还有“Plan B"：威胁受害者泄露他们的数据，并且联系受害者本地的GDPR监管机构，向其报告数据泄露事件。

这样一来，即使受害者不支付赎金，也将面临GDPR监管机构所带来的压力。

据了解，这2.29万被勒索的MongoDB数据库占网上全部暴露的MongoDB数据库的47%。

攻击者植入的勒索信息最早于2020年4月被发现。Victor Gevers是GDI基金会的一名网络安全研究者，其部分职责是向公司报告在网上暴露的服务器。他表示，最初的攻击行动并不包括删除数据库中的数据。

攻击者继续连接到同一数据库，留下赎金记录，几天后再次返回以留下赎金记录的另一个副本。Gevers称，攻击者似乎意识到它们在脚本中犯了错。不久之后，攻击者修正了它们的脚本，现在实际上是在清除MongoDB数据库。

尽管这些数据库中的一部分看似是测试用例，但是Gevers表示，一些生产系统也受到冲击。

MongoDB勒索事件

黑客们侵入用户的 MongoDB 数据库，把数据全部删掉，然后留下一条消息，要求用户用比特币支付价值几千美元的赎金。这种攻击行动被称为“MongDB勒索事件”。

事实上，MongoDB勒索事件曾在几年前数次上演。

2016 年 12 月底，MongoDB 遭黑客勒索，此事在 2017 年 1 月达到顶峰。攻击者利用配置存在纰漏的 MongoDB 展开勒索行为，自称 Harak1r1 的黑客组织将网络上公开的 MongoDB 资料库中的资料汇出，并将 MongoDB 服务器上的资料移除。起初两百个 MongoDB 数据库实例的数据被非法清除，几天之内，受感染的 MongoDB 数据库实例已经增长至一万多台。开始攻击者要求受害人支付 0.2 个比特币 (当时的价值约为 184 美金) 作为数据赎金，随着被感染的数据库越来越多，攻击者将勒索赎金提升至 1 个比特币 (价值约为 906 美金)。此次事件被称为“MongoDB 启示录”。

这种攻击行动让黑客意识到，它们可以通过清除MongoDB服务器并留下勒索信息，诱骗那些迫切希望取回文件的服务器所有者，最后赚取更多的钱。

2017 年 9 月，MongoDB 数据库再次遭到黑客勒索攻击，三个黑客团伙劫持了 2.6 万余台服务器。与“MongoDB 启示录”相比，此次攻击者的数量有所下降，但每次攻击的破坏性（受害者）数量上升。

在2017年，MongoDB产品安全资深主管Davi Ottenheimer谴责这种行为，并指出发生此事的原因之一是数据库所有者未能给数据库设置密码，并将没有配置防火墙的服务器暴露在网上。

近3年后，这一切几乎没有任何变化。

2017年初，有6万台MongoDB服务器在网上暴露，而现在，还有4.8万台服务器暴露于网上，关键是其中大多数没有启用身份验证。

安全问题的背后原因

MongoDB 为何如此易受攻击？

在这篇文章中，作者指出：MongoDB 的最大的安全问题来源于 MongoDB 的默认配置。在默认部署情况下，MongoDB 无需身份验证，即可登录，不法分子只要在互联网上发现 MongoDB 的地址和端口就可以通过工具直接访问 MongoDB，并拥有 MongoDB 的全部权限，从而进行任意操作。之所以会如此设计，原因在于：

MongoDB 默认通过最简单部署方式，最大限度提高运行速度，以在虚拟机（低配机）上运行而定制的，并未充分考虑 MongoDB 的安全性。

MongoDB 官方文档，如针对身份验证，传输加密，网络配置的文档、指南并不规范，容易误导 MongoDB 管理员。

一些 MongoDB 环境是为了单一项目或者是测试环境搭建，搭建者并不关心 MongoDB 的安全问题。

对于MongoDB勒索事件，MongoDB 中文社区发起人、MongoDB 官方大中华区首席架构师唐建法在《“没有一个技术是完美的”： MongoDB十年发展全纪录》总结道：

MongoDB，为了最大程度上方便程序员快速开发应用，默认方式下不需要设置用户名密码登录。这样一来，很多粗心的程序员，特别是创业公司，往往在系统正式上线时候也没有启用鉴权。就譬如你买了一套房子却没有使用门锁一样。

在笔者看来，对任何使用MongoDB的人来说，安全至关重要。一旦疏忽，MongoDB暴露于网上，遭遇勒索是小事，如果数据被删除，那么损失是无限的。

创作场景

黑客勒索 23000 个 MongoDB 数据库，不交钱就泄露数据