今年一月，美國(guó)共和黨電話拉票公司Victory Phones的MongoDB數(shù)據(jù)庫被黑，幾十萬為政治活動(dòng)捐款的美國(guó)公民數(shù)據(jù)遭到泄露。被竊文件223GB，共包含約20億行數(shù)據(jù)。

Victory Phones代表共和黨候選人進(jìn)行電話拉票，通過拉票電話擴(kuò)大共和黨選民規(guī)模，這家公司還為競(jìng)選活動(dòng)籌款。

從數(shù)據(jù)庫的信息類型來看，被盜數(shù)據(jù)庫主要涉及政治活動(dòng)捐款個(gè)人的數(shù)據(jù)。

公開記錄顯示，美國(guó)肯塔基州參議員Rand Paul 向Victory Phones支付20.76萬美元，阿拉巴馬州共和黨眾議員Martha Roby向其支付7.96萬美元，此外，這家公司還收取10.40萬美元宣傳密歇根共和黨的活動(dòng)。（此處數(shù)據(jù)只保留2位小數(shù)）

泄露數(shù)據(jù)查詢網(wǎng)站Have I Been Pwned創(chuàng)建者Troy Hunt（特洛伊·亨特）收到的數(shù)據(jù)庫副本顯示，遭遇泄露的數(shù)據(jù)包含16萬6046個(gè)唯一電子郵箱。同時(shí)還包括姓名、郵寄地址、電子郵箱、電話號(hào)碼、性別和捐款金額。

Hunt還聯(lián)系了文件中出現(xiàn)的個(gè)人，經(jīng)證實(shí)，數(shù)據(jù)屬實(shí)。有一個(gè)文件包含員工用戶名、哈希和加鹽密碼、郵寄地址和用戶登錄IP地址。

加鹽密碼：一種對(duì)系統(tǒng)登錄口令的加密方式，它實(shí)現(xiàn)的方式是將每一個(gè)口令同一個(gè)叫做”鹽“（salt）的n位隨機(jī)數(shù)相關(guān)聯(lián)。一般用于在原密碼后面追加一些無關(guān)字符后在進(jìn)行不可逆加密（例如MD5）

Victory Phones首席執(zhí)行官David Dishaw（戴維·迪肖）未置評(píng)數(shù)據(jù)的“真實(shí)性和有效性”。Dishaw證實(shí)，今年1月初，公司的MongoDB實(shí)例遭遇入侵，此后公司未收到勒索信或類似通信。Victory Phones公司已采取措施保護(hù)數(shù)據(jù)安全，并在入侵發(fā)生時(shí)通知了客戶。他表示公司將繼續(xù)跟進(jìn)。

今年年初，2.7萬個(gè)不安全的MongoDB數(shù)據(jù)庫被竊取，并遭遇勒索攻擊。許多配置不當(dāng)?shù)倪@類數(shù)據(jù)庫不包含密碼，黑客可能訪問下載數(shù)據(jù)以此勒索受害者。

截止10月12日凌晨，通過Shodan仍能搜索具有開發(fā)數(shù)據(jù)庫端口的Victory Phones服務(wù)器。

Hunt表示，2016年底至2017年初，大批MongoDB實(shí)例因配置漏洞遭遇攻擊。之所以會(huì)發(fā)生這樣的事件，是因?yàn)榻M織機(jī)構(gòu)將數(shù)據(jù)庫置于公開的網(wǎng)段，并且未設(shè)置任何保護(hù)措施，例如密碼。75%的被泄電子郵箱已收錄在Have I Been Pwned數(shù)據(jù)庫中。

研究人員Chris Vickery曾多次發(fā)現(xiàn)開放的MongoDB暴露在互聯(lián)網(wǎng)上：

2015年12月，Vickery在網(wǎng)上發(fā)現(xiàn)錯(cuò)誤配置的MongoDB數(shù)據(jù)庫暴露了1.91億條美國(guó)選民的記錄。

2016年4月，他發(fā)現(xiàn)132GB的MongoDB數(shù)據(jù)庫暴露在網(wǎng)上，其中包含9340萬墨西哥選民記錄。

今年9月初，MongoDB數(shù)據(jù)庫遭遇勒索攻擊，三個(gè)黑客團(tuán)伙劫持了2.6萬余臺(tái)服務(wù)器，其中一個(gè)團(tuán)伙劫持2.2萬臺(tái)服務(wù)器。安全研究人員認(rèn)為這一系列攻擊是“MongoDB啟示錄”（MongoDB Apocalypse，自2016 年12月至2017年上半年）的延續(xù)。

這些黑客組織成員在互聯(lián)網(wǎng)上掃描開放外部連接的MongoDB數(shù)據(jù)庫，清除并用勒索程序替換了數(shù)據(jù)庫中的數(shù)據(jù)。

這些暴露的數(shù)據(jù)庫中大多數(shù)為測(cè)試系統(tǒng)，但其中一部分包含重要生產(chǎn)數(shù)據(jù)，因此仍有一些公司最終支付了贖金。但與此前的勒索攻擊不同的是，這一次用戶支付了贖金并沒有換回相應(yīng)的數(shù)據(jù)，黑客根本就沒有掌握他們的數(shù)據(jù)，用戶只是被戲耍了一番。