2017 有一条关于 MongoDB 的重大安全新闻引起了广泛关注 —— MongoDB 被数据库勒索软件盯上,受害者数量超乎想象。背后的根本原因正是开源版的 MongoDB 在配置方面存在疏漏。
整个过程可这样简单描述:攻击者可访问配置有误且可公开访问的数据库,且无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库,随后会全面夺取控制权并窃取或加密数据库,被勒索的受害者必须支付赎金才能找回自己的数据。 但从 MongoDB 3.6 开始,这个问题将会被解决,MongoDB 创始人兼首席技术官 Eliot Horowitz 解释说,MongoDB 将不再使用不安全的配置。 Eliot Horowitz 表示:“在 3.6 版本中,默认情况下只启用 localhost。如果没有明确地启动网络,勒索软件的方法也就不奏效了。” 预计在 12 月份的某个时候会发布 MongoDB 3.6 最终版本。 |
