MongoDB 默认通过最简朴陈设方法，最大限度提高运行速度，以在虚拟机（低配机）上运行而定制的，并未充实思量 MongoDB 的安详性。

据相识，这 2.29 万被打单的 MongoDB 数据库占网上全部袒露的 MongoDB 数据库的 47%。

MongoDB 打单事件

2017 年 9 月，MongoDB 数据库再次遭到黑客打单进攻，三个黑客团伙挟制了 2.6 万余台处事器。与「MongoDB 启示录」对比，此次进攻者的数量有所下降，但每次进攻的粉碎性（受害者）数量上升。

这样一来，纵然受害者不付出赎金，也将面对 GDPR 禁锢机构所带来的压力。

2016 年 12 月底，MongoDB 遭黑客打单，此事在 2017 年 1 月到达巅峰。进攻者操作设置存在马虎的 MongoDB 展开打单行为，自称 Harak1r1 的黑客组织将网络上果真的 MongoDB 资料库中的资料汇出，，并将 MongoDB 处事器上的资料移除。起初两百个 MongoDB 数据库实例的数据被犯科排除，几天之内，受传染的 MongoDB 数据库实例已经增长至一万多台。开始进攻者要求受害人付出 0.2 个比特币 (其时的代价约为 184 美金) 作为数据赎金，跟着被传染的数据库越来越多，进攻者将打单赎金晋升至 1 个比特币 (代价约为 906 美金)。此次事件被称为「MongoDB 启示录」。

原文作者：万佳，InfoQ

对付 MongoDB 打单事件，MongoDB 中文社区提倡人、MongoDB 官方大中华区首席架构师唐建法在《「没有一个技能是完美的」： MongoDB 十年成长全记载》总结道：

黑客们侵入用户的 MongoDB 数据库，把数据全部删掉，然后留下一条动静，要求用户用比特币付出代价几千美元的赎金。这种进攻动作被称为「MongDB 打单事件」。

近 3 年后，这一切险些没有任何变革。

MongoDB，为了最洪流平上利便措施员快速开拓应用，默认方法下不需要配置用户名暗码登录。这样一来，许多粗心的措施员，出格是创业公司，往往在系统正式上线时候也没有启用鉴权。就譬如你买了一套屋子却没有利用门锁一样。

2017 年头，有 6 万台 MongoDB 处事器在网上袒露，而此刻，尚有 4.8 万台处事器袒露于网上，要害是个中大大都没有启用身份验证。

进攻者继承毗连到同一数据库，留下赎金记录，几天后再次返回以留下赎金记录的另一个副本。Gevers 称，进攻者好像意识到它们在剧本中犯了错。不久之后，进攻者批改了它们的剧本，此刻实际上是在排除 MongoDB 数据库。

在这篇文章中，作者指出：MongoDB 的最大的安详问题来历于 MongoDB 的默认设置。在默认陈设环境下，MongoDB 无需身份验证，即可登录，非法分子只要在互联网上发明 MongoDB 的地点和端口就可以通过东西直接会见 MongoDB，并拥有 MongoDB 的全部权限，从而举办任意操纵。之所以会如此设计，原因在于：

事实上，MongoDB 打单事件曾在几年前数次上演。

进攻者植入的打单信息最早于 2020 年 4 月被发明。Victor Gevers 是 GDI 基金会的一名网络安详研究者，其部门职责是向公司陈诉在网上袒露的处事器。他暗示，最初的进攻动作并不包罗删除数据库中的数据。

在笔者看来，对任何利用 MongoDB 的人来说，安详至关重要。一旦疏忽，MongoDB 袒露于网上，遭遇打单是小事，假如数据被删除，那么损失是无限的。

这种进攻动作让黑客意识到，它们可以通过排除 MongoDB 处事器并留下打单信息，拐骗那些急切但愿取回文件的处事器所有者，最后赚取更多的钱。

原文标题：《黑客打单 23000 个 MongoDB 数据库，不交钱就泄露数据》

这名进攻者给数据库所有者两天时间来付出赎金。假如不付出赎金，进攻者尚有「Plan B”：威胁受害者泄露他们的数据，而且接洽受害者当地的 GDPR 禁锢机构，向其陈诉数据泄露事件。