黑客控制了价值 250GB 的 NewsBlur 数据库,并在删除之前对其进行了赎金。
NewsBlur是一家总部位于美国的软件公司,它运行在线 RSS 新闻阅读器服务。在黑客擦除其数据库后, NewsBlur 服务中断。
据报道,当 RSS 阅读器过渡到 Docker 时,黑客(或 NewsBlur 的创始人称之为脚本小子)获得了对其数据库的访问权限。
这个过程绕过了一些防火墙规则,并将服务的MongoDB 数据库暴露给了公众。在过渡过程中,原来的MongoDB主集群被关闭,所以在攻击发生时它保持不变。
创始人声明
根据 NewsBlur 创始人 Samuel Clay 的说法,黑客行动迅速,在删除原始数据库之前复制了整个数据库。整个过程只用了他们三个小时。
“当我切换到新的 MongoDB 服务器时,一名黑客删除了 NewsBlur 的所有 mongo 数据,现在将 NewsBlur 的数据作为人质。我正在研究几个小时前的备份,并将让你们保持最新状态,”在个人新闻阅读器服务的主页上阅读创始人的消息。
Clay 进一步表示,黑客控制了价值 250GB 的数据库并在删除之前对其进行了赎金。
在我们的故事发表后,著名的安全研究员 Bob Diachenko 在推特上写道:
值得补充的是,在“脚本小子”将其清理干净之前,这个 MongoDB 在网上处于不安全状态将近一个月。
— 鲍勃·迪亚琴科 (@MayhemDayOne) ,2021 年 6 月 28 日
NewsBlur 重新上线
在检测到攻击后不久,Clay 拍摄了主数据库的快照以恢复 NewsBlur 服务,并可以在大约 10 小时后使其重新上线。该公司通过 Twitter 在一系列更新 中让用户了解该网站的状态 ,内容如下:
“快照已完成,备份已验证(哇哦!),现在 MongoDB 集群正在同步。大约一个小时后,一切都会好起来的。”
“我们回来了!还需要几个小时才能重新启动提要获取,但 6 小时前的所有故事都应该在那里,准备好阅读。”
UFW防火墙修改负责数据黑客?
Samuel Clay 表示 Docker 对 UFW 防火墙进行了更改,该防火墙负责允许未经授权访问其数据库。
“当我将 MongoDB 容器化时,Docker 帮助将允许规则插入到 iptables 中,从而向世界开放了 MongoDB。因此,虽然我的防火墙‘活跃’,[...] MongoDB 对世界开放,”Clay 说。
(来源:HACKREAD)