超2亿中国用户简历曝光！MongoDB又一重大安全事故

最新推荐文章于 2023-02-13 07:42:08 发布

weixin_33694620

最新推荐文章于 2023-02-13 07:42:08 发布

阅读量204

点赞数

文章标签：数据库区块链运维

本文链接：https://blog.csdn.net/weixin_33694620/article/details/89147851

版权

近日，外网安全研究人员偶然发现一个没有被很好保护的MongoDB数据库服务器，整个实例包含854GB数据，共有202,730,434条记录，其中大部分是中国用户简历，内容非常详细，包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。Hacken Proof网络风险研发主管Bob Diachenko认为，这应该是服务器数据在线泄露。

$\"图片\"$

图片来源：https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

该信息对整个互联网开放，因此追踪信息来源几乎是不可能的，但经过Twitter上一位用户的努力，已确定大致来源为一个已经删除的GitHub存储库，该存储库包含Web应用程序的源代码，此应用程序具有与泄露数据库中数据结构完全相同的数据，这清楚表明该程序应该是一个收集用户简历的第三方应用。

据此用户查证，该已删除应用的简历主要来源之一是 bj.58.com，当Diachenko与bj.58.com工作人员联系时，他们也给出了初步评估，确定数据来自第三方应用泄露，并非官方泄露。

$\"图片\"$

由于Diachenko在Twitter上寻求帮助的行为引起了数据库所有者的注意，因此，目前该数据库已经得到保护。据悉，该安全研究员上个月也曾发现一个类似的MongoDB服务器，暴露了超过6600万条记录，似乎最初来自于LinkedIn。

2017年，58也曾发生一起数据泄露事件，当时只需支付700元购买一种爬虫软件，用卖家提供的账号登录后就能不断采集应聘者相关信息，该软件每小时可以采集数千份用户数据。58方面当时给出的回应是：非官方泄露，黑客攻击所致。

MongoDB安全门事件

此前，MongoDB也多次出现安全问题。无需身份验证的开放式 MongoDB 数据库曾遭到多个黑客组织的攻击，被攻破的数据库内容会被加密，受害者必须支付赎金才能找回自己的数据。

2016年12月底,MongoDB遭黑客攻击，事情在2017年1月达到顶峰。攻击者利用配置存在纰漏的MongoDB展开勒索行为，自称Harak1r1 的黑客组织将网络上公开的MongoDB资料库中的资料汇出，并将MongoDB服务器上的资料移除。起初两百个MongoDB数据库实例的数据被非法清除，几天之内，受感染的MongoDB数据库实例已经增长至一万多台。开始攻击者要求受害人支付0.2个比特币(当时的价值约为184美金)作为数据赎金，随着被感染的数据库越来越多，攻击者将勒索赎金提升至1个比特币(价值约为906美金)。此次事件被称为“MongoDB启示录”。
2017年9月，MongoDB数据库再次遭到黑客勒索攻击，三个黑客团伙劫持了2.6万余台服务器。与“MongoDB启示录”相比，此次攻击者的数量有所下降，但每次攻击的破坏性（受害者）数量上升。

MongoDB为何如此易受攻击

MongoDB出现时，凭借简单的部署方式，高效的扩展能力、多样化的语言接口，并借着云蓬勃发展的势头，一度在全球数据库市场占据第四名。但是，MongoDB也存在安全风险。在一篇文章中，作者分析了MongoDB的最大的安全问题来源于MongoDB的默认配置。在默认部署情况下，MongoDB无需身份验证，即可登录，不法分子只要在互联网上发现MongoDB的地址和端口就可以通过工具直接访问MongoDB，并拥有MongoDB的全部权限，从而进行任意操作。之所以会如此设计，原因在于：