ZDNet今天获悉，一名黑客在网上公开的22900个MongoDB数据库中上传了赎金笔记，这个数字大约占在线访问的所有MongoDB数据库的47%。

黑客正在使用一个自动脚本来扫描配置错误的MongoDB数据库，擦除其内容，并留下一张勒索便条，要求支付0.015比特币（约合140美元）。

攻击者给公司两天的时间付款，并威胁要泄露他们的数据，然后联系受害者当地的通用数据保护条例（GDPR）执法机构报告他们的数据泄露。

早在2020年4月，就已经出现了植入这张赎金单的攻击事件（阅读并恢复你的数据）。

GDI基金会的安全研究员维克多·格弗斯（Victor Gevers）今天在接受ZDNet的电话采访时表示，最初的攻击不包括数据擦除步骤。

攻击者一直连接到同一个数据库，留下赎金单，几天后再次返回，留下同一张勒索单的另一份副本。

但是Gevers今天告诉ZDNet，攻击者似乎已经意识到他们在剧本中犯了一个错误。从昨天开始，黑客已经修改了他们的脚本，现在正在清理MongoDB数据库。

“一切都过去了，”格弗斯告诉ZDNet一切。

虽然这些数据库中的一些似乎是测试实例，但Gevers说，一些生产系统也受到了攻击，现在已经删除了暂存数据。

Gevers在GDI基金会负责将服务器暴露给公司是他的职责之一。他说，今天早些时候，他在检查MongoDB系统时注意到了系统被破坏的情况，他计划报告并得到保护。

“今天，我只能报告一次数据泄露。一般情况下，我至少可以做5到10次。”

自2016年底以来，类似的袭击事件也发生过。然而，这些“MongoDB擦除和赎金”攻击本身并不是什么新鲜事。Gevers今天发现的攻击只是2016年12月开始的一系列攻击的最新阶段，当时黑客意识到他们可以通过擦除MongoDB服务器并留下赎金要求，欺骗急于取回文件的服务器所有者，从而赚大钱。

2017年1月，超过2.8万台服务器在一系列攻击中被勒索，2017年9月又发生了2.6万台，2019年2月又发生了3000台。

早在2017年，MongoDB，Inc.产品安全高级主管Davi Ottenheimer就将攻击归咎于数据库所有者，他们未能为数据库设置密码，然后在没有防火墙的情况下将服务器暴露在网络上。

差不多三年后，一切似乎都没有改变。从2017年初在线曝光的60000台MongoDB服务器来看，如今的针头几乎没有移动到48000台暴露的服务器上，其中大多数没有启用身份验证。

大多数情况下，这些服务器会在管理员遵循错误的MongoDB配置教程、在配置系统时犯下诚实的错误、或者使用随配置错误的MongoDB系统打包在一起的服务器映像而在线暴露。

目前，默认的MongoDB数据库设置带有现成的安全默认设置，但是尽管如此，我们仍然有成千上万的服务器由于某种原因每天在线暴露。对于希望以适当方式保护其MongoDB服务器的服务器管理员来说，MongoDB安全页面是获得正确建议的最佳起点。