近日，外網(wǎng)安全研究人員偶然發(fā)現(xiàn)一個沒有被很好保護(hù)的 MongoDB 數(shù)據(jù)庫服務(wù)器，整個實例包含 854GB 數(shù)據(jù)，共有 202,730,434 條記錄，其中大部分是中國用戶簡歷，內(nèi)容非常詳細(xì)，包括中文全名、家庭住址、電話號碼、電子郵件、婚煙狀況、政治關(guān)系、期望薪水等內(nèi)容。Hacken Proof 網(wǎng)絡(luò)風(fēng)險研發(fā)主管 Bob Diachenko 認(rèn)為，這應(yīng)該是服務(wù)器數(shù)據(jù)在線泄露。

 

 

圖片來源：https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

該信息對整個互聯(lián)網(wǎng)開放，因此追蹤信息來源幾乎是不可能的，但經(jīng)過 Twitter 上一位用戶的努力，已確定大致來源為一個已經(jīng)刪除的 GitHub 存儲庫，該存儲庫包含 Web 應(yīng)用程序的源代碼，此應(yīng)用程序具有與泄露數(shù)據(jù)庫中數(shù)據(jù)結(jié)構(gòu)完全相同的數(shù)據(jù)，這清楚表明該程序應(yīng)該是一個收集用戶簡歷的第三方應(yīng)用。

據(jù)此用戶查證，該已刪除應(yīng)用的簡歷主要來源之一是 bj.58.com，當(dāng) Diachenko 與 bj.58.com 工作人員聯(lián)系時，他們也給出了初步評估，確定數(shù)據(jù)來自第三方應(yīng)用泄露，并非官方泄露。

 

 

由于 Diachenko 在 Twitter 上尋求幫助的行為引起了數(shù)據(jù)庫所有者的注意，因此，目前該數(shù)據(jù)庫已經(jīng)得到保護(hù)。據(jù)悉，該安全研究員上個月也曾發(fā)現(xiàn)一個類似的 MongoDB 服務(wù)器，暴露了超過 6600 萬條記錄，似乎最初來自于 LinkedIn。

2017 年，58 也曾發(fā)生一起數(shù)據(jù)泄露事件，當(dāng)時只需支付 700 元購買一種爬蟲軟件，用賣家提供的賬號登錄后就能不斷采集應(yīng)聘者相關(guān)信息，該軟件每小時可以采集數(shù)千份用戶數(shù)據(jù)。58 方面當(dāng)時給出的回應(yīng)是：非官方泄露，黑客攻擊所致。

MongoDB 安全門事件

此前，MongoDB 也多次出現(xiàn)安全問題。無需身份驗證的開放式 MongoDB 數(shù)據(jù)庫曾遭到多個黑客組織的攻擊，被攻破的數(shù)據(jù)庫內(nèi)容會被加密，受害者必須支付贖金才能找回自己的數(shù)據(jù)。

2016 年 12 月底,MongoDB 遭黑客攻擊，事情在 2017 年 1 月達(dá)到頂峰。攻擊者利用配置存在紕漏的 MongoDB 展開勒索行為，自稱 Harak1r1 的黑客組織將網(wǎng)絡(luò)上公開的 MongoDB 資料庫中的資料匯出，并將 MongoDB 服務(wù)器上的資料移除。起初兩百個 MongoDB 數(shù)據(jù)庫實例的數(shù)據(jù)被非法清除，幾天之內(nèi)，受感染的 MongoDB 數(shù)據(jù)庫實例已經(jīng)增長至一萬多臺。開始攻擊者要求受害人支付 0.2 個比特幣 (當(dāng)時的價值約為 184 美金) 作為數(shù)據(jù)贖金，隨著被感染的數(shù)據(jù)庫越來越多，攻擊者將勒索贖金提升至 1 個比特幣 (價值約為 906 美金)。此次事件被稱為“MongoDB 啟示錄”。

2017 年 9 月，MongoDB 數(shù)據(jù)庫再次遭到黑客勒索攻擊，三個黑客團(tuán)伙劫持了 2.6 萬余臺服務(wù)器。與“MongoDB 啟示錄”相比，此次攻擊者的數(shù)量有所下降，但每次攻擊的破壞性(受害者)數(shù)量上升。

MongoDB 為何如此易受攻擊

MongoDB 出現(xiàn)時，憑借簡單的部署方式，高效的擴展能力、多樣化的語言接口，并借著云蓬勃發(fā)展的勢頭，一度在全球數(shù)據(jù)庫市場占據(jù)第四名。但是，MongoDB 也存在安全風(fēng)險。在一篇文章中，作者分析了 MongoDB 的最大的安全問題來源于 MongoDB 的默認(rèn)配置。在默認(rèn)部署情況下，MongoDB 無需身份驗證，即可登錄，不法分子只要在互聯(lián)網(wǎng)上發(fā)現(xiàn) MongoDB 的地址和端口就可以通過工具直接訪問 MongoDB，并擁有 MongoDB 的全部權(quán)限，從而進(jìn)行任意操作。之所以會如此設(shè)計，原因在于：

♦ MongoDB 默認(rèn)通過最簡單部署方式，最大限度提高運行速度，以在虛擬機(低配機)上運行而定制的，并未充分考慮 MongoDB 的安全性。

♦ MongoDB 官方文檔，如針對身份驗證，傳輸加密，網(wǎng)絡(luò)配置的文檔、指南并不規(guī)范，容易誤導(dǎo) MongoDB 管理員。

♦ 一些 MongoDB 環(huán)境是為了單一項目或者是測試環(huán)境搭建，搭建者并不關(guān)心 MongoDB 的安全問題。

徐飛博士在極客時間的專欄《技術(shù)與商業(yè)案例解讀》中也總結(jié)過，MongoDB 作為一個文檔數(shù)據(jù)庫，在開發(fā)策略上把絕大部分注意力都放在提高產(chǎn)品易用性上，也花了不少功夫來打開市場，但是在安全方面投入的精力相對很少。

如何防范隱私數(shù)據(jù)被泄漏

隨著隱私數(shù)據(jù)泄漏的情況變得越來越普遍，組織應(yīng)該認(rèn)識到正確保護(hù)第三方數(shù)據(jù)庫服務(wù)器的重要性，并采取必要的步驟來加密數(shù)據(jù)，以確保在惡意目的下無法使用。去年 8 月底華住集團(tuán)泄露 2 億多開房記錄的事件鬧得沸沸揚揚，InfoQ 在對事件的報道中也向大家提供了防范數(shù)據(jù)泄漏的建議：

♦ 更換端口：不使用默認(rèn)端口雖然無法杜絕黑客的入侵，但可以相對增加入侵難度;

♦ 公網(wǎng)屏蔽：只監(jiān)聽內(nèi)網(wǎng)端口屏蔽公網(wǎng)端口的請求，通過該策略繼續(xù)增加黑客的入侵難度;

♦ 使用普通用戶啟動：建議大家維護(hù)的所有 db 都使用禁止登錄的非 root 用戶啟動;

♦ 開啟驗證：這雖然是復(fù)雜、痛苦的一步，但卻是明智的選擇;

♦ 權(quán)限控制：建議大家針對自己維護(hù)的數(shù)據(jù)庫設(shè)置一套適合對應(yīng)業(yè)務(wù)的權(quán)限控制、分配方案;

♦ 備份策略：一套可靠的本地備份邏輯 + 遠(yuǎn)程備份存儲方案可以解決被黑、誤刪、機房漏水、服務(wù)器報銷，甚至機房被核彈炸毀的場景;

♦ 恢復(fù)策略：建立一套能夠覆蓋多數(shù)災(zāi)難場景的恢復(fù)策略來避免手忙腳亂是非常必要的;

♦ 敏感數(shù)據(jù)加密存儲：我們建議大家一定對任何敏感信息加密后再入庫，例如：密碼、郵箱、地址等等。

此類事件頻發(fā)也表明，安全是個不容忽視的問題，希望各廠商、開發(fā)者能夠重視安全問題，避免造成不必要的損失。

標(biāo)簽： 安全 代碼 電子郵件 服務(wù)器 互聯(lián)網(wǎng) 機房 開發(fā)者 權(quán)限 數(shù)據(jù)庫 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。