MongoDB勒索事件排查进展

事件背景

2016年底至2017年初，互联网爆发了针对MongoDB的勒索事件，国内外新闻都有大范围的报道。

黑客利用了MongoDB未授权访问漏洞，批量的对可操作的数据库进行了“删库”操作，并留下自己的联系方式，以此要挟用户使用比特币支付赎金换回数据。

事件发展

2016年12月26日

Victor Gevers再Twitter上发推声称有些MongoDB数据库被黑客删除并要求受害用户支付0.2比特币赎回数据

2017年1月4日

Hijacked黑客组织声称入侵了2000个MongoDB数据库

2017年1月6日

过去几天，许多黑客攻击了互联网上的MongoDB数据库，并采用类似Hijacked黑客组织的方式，要求用户支付比特币赎回数据

2017年1月7日

国内媒体转发海外媒体的新闻报道，国内技术圈开始重视此问题

事件原因

用户在安装原生的MongoDB时，默认条件下，MongoDB不会启用认证和访问控制。用户将本来只有通过内网连接的端口映射到公网上，使得没有身份验证的MongoDB暴露在公网上被黑客组织利用

排查进展

在2017年1月4日，尚安必驰工作室（现已更名为：上海赛基特信息科技有限公司，下同）就注意到了海外媒体的报道并对客户的数据库进行主动排查，经排查，没有客户受此事件影响。具体排查结果如下：

采用MongoDB数据库的客户数：27家

MongoDB数据库无身份验证量：0

MongoDB数据库暴露在公网数量：2家

我们主动联系了将MongoDB数据库访问端口暴露在公网的两家企业，并在第一时间为其在网络访问控制设备上删除了公网访问的映射并建议用户修改密码为强密码以抵御潜在的威胁。

尚安必驰工作室一直遵循行业最佳实践为客户提供高效、稳定、安全的服务，并且会在主动发现潜在威胁时，第一时间进行排查和加固，确保客户安全无忧。