【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

超 2 亿中国用户简历曝光!MongoDB 又一重大安全事故

  • 2019-01-11
  • 本文字数:2062 字

    阅读完需:约 7 分钟

超2亿中国用户简历曝光!MongoDB又一重大安全事故

近日,外网安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。Hacken Proof 网络风险研发主管 Bob Diachenko 认为,这应该是服务器数据在线泄露。



图片来源:https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed


该信息对整个互联网开放,因此追踪信息来源几乎是不可能的,但经过 Twitter 上一位用户的努力,已确定大致来源为一个已经删除的 GitHub 存储库,该存储库包含 Web 应用程序的源代码,此应用程序具有与泄露数据库中数据结构完全相同的数据,这清楚表明该程序应该是一个收集用户简历的第三方应用。


据此用户查证,该已删除应用的简历主要来源之一是 bj.58.com,当 Diachenko 与 bj.58.com 工作人员联系时,他们也给出了初步评估,确定数据来自第三方应用泄露,并非官方泄露。



由于 Diachenko 在 Twitter 上寻求帮助的行为引起了数据库所有者的注意,因此,目前该数据库已经得到保护。据悉,该安全研究员上个月也曾发现一个类似的 MongoDB 服务器,暴露了超过 6600 万条记录,似乎最初来自于 LinkedIn。


2017 年,58 也曾发生一起数据泄露事件,当时只需支付 700 元购买一种爬虫软件,用卖家提供的账号登录后就能不断采集应聘者相关信息,该软件每小时可以采集数千份用户数据。58 方面当时给出的回应是:非官方泄露,黑客攻击所致。

MongoDB 安全门事件

此前,MongoDB 也多次出现安全问题。无需身份验证的开放式 MongoDB 数据库曾遭到多个黑客组织的攻击,被攻破的数据库内容会被加密,受害者必须支付赎金才能找回自己的数据。


  • 2016 年 12 月底,MongoDB 遭黑客攻击,事情在 2017 年 1 月达到顶峰。攻击者利用配置存在纰漏的 MongoDB 展开勒索行为,自称 Harak1r1 的黑客组织将网络上公开的 MongoDB 资料库中的资料汇出,并将 MongoDB 服务器上的资料移除。起初两百个 MongoDB 数据库实例的数据被非法清除,几天之内,受感染的 MongoDB 数据库实例已经增长至一万多台。开始攻击者要求受害人支付 0.2 个比特币(当时的价值约为 184 美金)作为数据赎金,随着被感染的数据库越来越多,攻击者将勒索赎金提升至 1 个比特币(价值约为 906 美金)。此次事件被称为“MongoDB 启示录”。

  • 2017 年 9 月,MongoDB 数据库再次遭到黑客勒索攻击,三个黑客团伙劫持了 2.6 万余台服务器。与“MongoDB 启示录”相比,此次攻击者的数量有所下降,但每次攻击的破坏性(受害者)数量上升。

MongoDB 为何如此易受攻击

MongoDB 出现时,凭借简单的部署方式,高效的扩展能力、多样化的语言接口,并借着云蓬勃发展的势头,一度在全球数据库市场占据第四名。但是,MongoDB 也存在安全风险。在一篇文章中,作者分析了 MongoDB 的最大的安全问题来源于 MongoDB 的默认配置。在默认部署情况下,MongoDB 无需身份验证,即可登录,不法分子只要在互联网上发现 MongoDB 的地址和端口就可以通过工具直接访问 MongoDB,并拥有 MongoDB 的全部权限,从而进行任意操作。之所以会如此设计,原因在于:


  • MongoDB 默认通过最简单部署方式,最大限度提高运行速度,以在虚拟机(低配机)上运行而定制的,并未充分考虑 MongoDB 的安全性。

  • MongoDB 官方文档,如针对身份验证,传输加密,网络配置的文档、指南并不规范,容易误导 MongoDB 管理员。

  • 一些 MongoDB 环境是为了单一项目或者是测试环境搭建,搭建者并不关心 MongoDB 的安全问题。


徐飞博士在极客时间的专栏《技术与商业案例解读》中也总结过,MongoDB 作为一个文档数据库,在开发策略上把绝大部分注意力都放在提高产品易用性上,也花了不少功夫来打开市场,但是在安全方面投入的精力相对很少。

如何防范隐私数据被泄漏

随着隐私数据泄漏的情况变得越来越普遍,组织应该认识到正确保护第三方数据库服务器的重要性,并采取必要的步骤来加密数据,以确保在恶意目的下无法使用。去年 8 月底华住集团泄露 2 亿多开房记录的事件闹得沸沸扬扬,InfoQ 在对事件的报道中也向大家提供了防范数据泄漏的建议:


  • 更换端口:不使用默认端口虽然无法杜绝黑客的入侵,但可以相对增加入侵难度;

  • 公网屏蔽:只监听内网端口屏蔽公网端口的请求,通过该策略继续增加黑客的入侵难度;

  • 使用普通用户启动:建议大家维护的所有 db 都使用禁止登录的非 root 用户启动;

  • 开启验证:这虽然是复杂、痛苦的一步,但却是明智的选择;

  • 权限控制:建议大家针对自己维护的数据库设置一套适合对应业务的权限控制、分配方案;

  • 备份策略:一套可靠的本地备份逻辑 + 远程备份存储方案可以解决被黑、误删、机房漏水、服务器报销,甚至机房被核弹炸毁的场景;

  • 恢复策略:建立一套能够覆盖多数灾难场景的恢复策略来避免手忙脚乱是非常必要的;

  • 敏感数据加密存储:我们建议大家一定对任何敏感信息加密后再入库,例如:密码、邮箱、地址等等。


此类事件频发也表明,安全是个不容忽视的问题,希望各厂商、开发者能够重视安全问题,避免造成不必要的损失。


2019-01-11 13:4021054
用户头像
赵钰莹 InfoQ 主编

发布了 870 篇内容, 共 599.0 次阅读, 收获喜欢 2669 次。

关注

评论 1 条评论

发布
用户头像
房主自己不锁门被偷了就怪锁有安全问题,这种逻辑也是怪了
2019-01-12 19:59
回复
没有更多了
发现更多内容

iOS-打包上架构建版本一直不出现/正在处理/自动消失

雪奈椰子

解锁Jira本地部署的数据中心版高级功能,打造高效、智能、精细化的项目管理

龙智—DevSecOps解决方案

Jira

anyRTC 融合音视频能力底座:助力企业数字化转型

anyRTC开发者

音视频 视频会议 融合会议 视频监控 电话会议

软件测试/人工智能|利用 EvoSuite 自动生成高质量的 Java 单元测试用例

霍格沃兹测试开发学社

C#简化工作之实现网页爬虫获取数据

不在线第一只蜗牛

Java C# 开发 网络爬虫

软件测试/人工智能|基于录制的接口测试用例自动生成技术探究

霍格沃兹测试开发学社

在线教育如何基于小程序进行技术创新

Onegun

小程序 在线教育

AE插件:GifGun 2.0.12激活破解版 支持AE2023

iMac小白

谷歌趋势官网是什么?谷歌趋势有哪些功能?

九凌网络

FFA 2023|字节跳动 7 项议题入选

字节跳动云原生计算

flink FFA 2023

Tableau Desktop 2019 for Mac(最好用的数据分析工具)激活版下载

iMac小白

Native Instruments Kontakt 6 for Mac激活版下载

iMac小白

浪潮信息发布源2.0基础大模型,千亿参数全面开源

财见

软件测试/人工智能|使用 GraphWalker 实现自动化测试用例生成

霍格沃兹测试开发学社

inBuilder低代码平台新特性推荐-第十一期

inBuilder低代码平台

低代码 开发

解锁 ElasticJob 云原生实践的难题

不在线第一只蜗牛

分布式 云原生 Elastis

Things3 for Mac(日程和任务管理工具) 3.19.3激活破解版

mac

任务管理工具 苹果mac Windows软件 Things 3

1天开发一个教育类App!我是怎么办到的

FN0

小程序 App

「我在淘天做技术」迈步从头越-阿里妈妈广告智能决策技术的演进之路

阿里技术

广告 淘天 阿里妈妈 广告智能决策技术 自动出价

PAM助力企业加强信息安全建设

尚思卓越

运维 网络安全 信息安全 特权账号

浪潮信息赵帅:实现算力全流程绿色化,推动数据中心可持续发展

财见

谷歌要如何优化引流?谷歌引流有什么优势?

九凌网络

VPS服务器搭建指南:快速、简单、高效的秘诀大揭秘

一只扑棱蛾子

VPS VPS服务器

HarmonyOS传感器开发指南

HarmonyOS开发者

HarmonyOS

Web 3.0最热门趋势:基于NFT的DAO-NFT和DAO如何彻底改变 Web3.0

区块链软件开发推广运营

dapp开发 区块链开发 链游开发 NFT开发 公链开发

DBeaverUltimate旗舰版下载 数据库管理软件

iMac小白

Parallels Desktop 19完美激活秘钥

iMac小白

OpenHarmony亮相MTSC 2023 | 质量&效率共进,赋能应用生态发展

OpenHarmony开发者

OpenHarmony

PAM为用户带来哪些收益

尚思卓越

网络安全 特权账号

融云 Global IM UIKit 正式上线,开发更自由,服务更稳定

融云 RongCloud

产品 开发 IM API Global IM UIkit

macOS 14 Sonoma 14.1.1正式版离线安装包下载

iMac小白

超2亿中国用户简历曝光!MongoDB又一重大安全事故_安全_赵钰莹_InfoQ精选文章