超 2 億中國用戶簡歷曝光!MongoDB 又一重大安全事故

收藏待读

超 2 億中國用戶簡歷曝光!MongoDB 又一重大安全事故

近日,外網安全研究人員偶然發現一個沒有被很好保護的 MongoDB 數據庫服務器,整個實例包含 854GB 數據,共有 202,730,434 條記錄,其中大部分是中國用戶簡歷,內容非常詳細,包括中文全名、家庭住址、電話號碼、電子郵件、婚煙狀況、政治關係、期望薪水等內容。Hacken Proof 網絡風險研發主管 Bob Diachenko 認為,這應該是服務器數據在線泄露。

超 2 億中國用戶簡歷曝光!MongoDB 又一重大安全事故

圖片來源:https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

該信息對整個互聯網開放,因此追蹤信息來源幾乎是不可能的,但經過 Twitter 上一位用戶的努力,已確定大致來源為一個已經刪除的 GitHub 存儲庫,該存儲庫包含 Web 應用程序的源代碼,此應用程序具有與泄露數據庫中數據結構完全相同的數據,這清楚表明該程序應該是一個收集用戶簡歷的第三方應用。

據此用戶查證,該已刪除應用的簡歷主要來源之一是 bj.58.com ,當 Diachenko 與 bj.58.com 工作人員聯繫時,他們也給出了初步評估,確定數據來自第三方應用泄露,並非官方泄露。

超 2 億中國用戶簡歷曝光!MongoDB 又一重大安全事故

由於 Diachenko 在 Twitter 上尋求幫助的行為引起了數據庫所有者的注意,因此,目前該數據庫已經得到保護。據悉,該安全研究員上個月也曾發現一個類似的 MongoDB 服務器,暴露了超過 6600 萬條記錄,似乎最初來自於 LinkedIn。

2017 年,58 也曾發生一起數據泄露事件,當時只需支付 700 元購買一種爬蟲軟件,用賣家提供的賬號登錄後就能不斷採集應聘者相關信息,該軟件每小時可以採集數千份用戶數據。58 方面當時給出的回應是:非官方泄露,黑客攻擊所致。

MongoDB 安全門事件

此前,MongoDB 也多次出現安全問題。無需身份驗證的開放式 MongoDB 數據庫曾遭到多個黑客組織的攻擊,被攻破的數據庫內容會被加密,受害者必須支付贖金才能找回自己的數據。

  • 2016 年 12 月底,MongoDB 遭黑客攻擊,事情在 2017 年 1 月達到頂峰。攻擊者利用配置存在紕漏的 MongoDB 展開勒索行為,自稱 Harak1r1 的黑客組織將網絡上公開的 MongoDB 資料庫中的資料匯出,並將 MongoDB 服務器上的資料移除。起初兩百個 MongoDB 數據庫實例的數據被非法清除,幾天之內,受感染的 MongoDB 數據庫實例已經增長至一萬多台。開始攻擊者要求受害人支付 0.2 個比特幣 (當時的價值約為 184 美金) 作為數據贖金,隨着被感染的數據庫越來越多,攻擊者將勒索贖金提升至 1 個比特幣 (價值約為 906 美金)。此次事件被稱為「MongoDB 啟示錄」。

  • 2017 年 9 月,MongoDB 數據庫再次遭到黑客勒索攻擊,三個黑客團伙劫持了 2.6 萬餘台服務器。與「MongoDB 啟示錄」相比,此次攻擊者的數量有所下降,但每次攻擊的破壞性(受害者)數量上升。

MongoDB 為何如此易受攻擊

MongoDB 出現時,憑藉簡單的部署方式,高效的擴展能力、多樣化的語言接口,並藉著雲蓬勃發展的勢頭,一度在全球數據庫市場佔據第四名。但是,MongoDB 也存在安全風險。在 一篇文章 中,作者分析了 MongoDB 的最大的安全問題來源於 MongoDB 的默認配置。在默認部署情況下,MongoDB 無需身份驗證,即可登錄,不法分子只要在互聯網上發現 MongoDB 的地址和端口就可以通過工具直接訪問 MongoDB,並擁有 MongoDB 的全部權限,從而進行任意操作。之所以會如此設計,原因在於:

  • MongoDB 默認通過最簡單部署方式,最大限度提高運行速度,以在虛擬機(低配機)上運行而定製的,並未充分考慮 MongoDB 的安全性。

  • MongoDB 官方文檔,如針對身份驗證,傳輸加密,網絡配置的文檔、指南並不規範,容易誤導 MongoDB 管理員。

  • 一些 MongoDB 環境是為了單一項目或者是測試環境搭建,搭建者並不關心 MongoDB 的安全問題。

徐飛博士在極客時間的專欄 《技術與商業案例解讀》 中也總結過,MongoDB 作為一個文檔數據庫,在開發策略上把絕大部分注意力都放在提高產品易用性上,也花了不少功夫來打開市場,但是在安全方面投入的精力相對很少。

如何防範隱私數據被泄漏

隨着隱私數據泄漏的情況變得越來越普遍,組織應該認識到正確保護第三方數據庫服務器的重要性,並採取必要的步驟來加密數據,以確保在惡意目的下無法使用。去年 8 月底華住集團泄露 2 億多開房記錄的事件鬧得沸沸揚揚,InfoQ 在對事件的報道中也向大家提供了防範數據泄漏的建議:

  • 更換端口:不使用默認端口雖然無法杜絕黑客的入侵,但可以相對增加入侵難度;

  • 公網屏蔽:只監聽內網端口屏蔽公網端口的請求,通過該策略繼續增加黑客的入侵難度;

  • 使用普通用戶啟動:建議大家維護的所有 db 都使用禁止登錄的非 root 用戶啟動;

  • 開啟驗證:這雖然是複雜、痛苦的一步,但卻是明智的選擇;

  • 權限控制:建議大家針對自己維護的數據庫設置一套適合對應業務的權限控制、分配方案;

  • 備份策略:一套可靠的本地備份邏輯 + 遠程備份存儲方案可以解決被黑、誤刪、機房漏水、服務器報銷,甚至機房被核彈炸毀的場景;

  • 恢復策略:建立一套能夠覆蓋多數災難場景的恢復策略來避免手忙腳亂是非常必要的;

  • 敏感數據加密存儲:我們建議大家一定對任何敏感信息加密後再入庫,例如:密碼、郵箱、地址等等。

此類事件頻發也表明,安全是個不容忽視的問題,希望各廠商、開發者能夠重視安全問題,避免造成不必要的損失。

原文 : InfoQ

相關閱讀

免责声明:本文内容来源于InfoQ,已注明原文出处和链接,文章观点不代表立场,如若侵犯到您的权益,或涉不实谣言,敬请向我们提出检举。