文章总结： Flare报告显示超1400台未受保护的MongoDB数据库遭勒索攻击，攻击者清空数据并索要比特币。约3100个实例暴露于互联网且无访问控制，潜在收益虽高但实际获利甚微。关键发现表明配置错误是主因，建议管理员立即检查并修复访问控制策略以保障数据安全。 综合评分： 70 文章分类： 数据泄露,安全大事件,威胁情报

超1400个 MongoDB 数据库遭勒索

Ionut Arghire Ionut Arghire

代码卫士

2026年2月3日 18:20 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

威胁管理公司Flare指出，不受保护的MongoDB实例仍然是经济利益驱动型黑客的易攻击目标，目前有超过1400台服务器显示出被入侵迹象。

约十年前，劫持MongoDB数据库曾形成一股攻击风潮。根据2017年初披露的大规模攻击活动记录，当时有超过3.3万个实例遭劫持。由于数据库所有者未能妥善保护暴露在互联网的MongoDB实例，攻击者得以入侵并清空数据，随后留下勒索信息，要求支付赎金以换回被删除的内容。

Flare指出，目前可公开探测发现的MongoDB服务器已超过20万台，其中超过10万台泄露了运行信息。更令人担忧的是，有3100个数据库在无适当限制的情况下暴露于互联网，允许任意人员访问。

该公司数据显示，在这些暴露的数据库中，已有1416个实例（占比45.6%）遭受攻击，其内容被替换为勒索信息，通常要求支付500美元等值的比特币作为赎金。其中98%的勒索记录提及同一比特币地址，说明这些MongoDB劫持事件出自同一威胁行为者之手。

其余1684台服务器（占比54.4%）尚未出现感染迹象，Flare认为其中至少部分数据库所有者可能已支付赎金。“这意味着该威胁行为者从此轮攻击中可能获得的收益范围，可从零美元（假设剩余服务器均为直接下线的测试环境）至高达84.2万美元。”

目前该威胁行动者的比特币钱包仅收到约400美元，表明此次数据库劫持活动可能并未给攻击者带来显著收益。

Flare的调查还显示，在已识别的服务器中，超过9.5万台（占比46.3%）存在至少一个安全漏洞，其中多数缺陷可能导致拒绝服务攻击。该公司认为，“就本次事件而言，真正构成安全隐患的资产仅限于约3100个未配置恰当访问控制措施而直接暴露的MongoDB实例。”

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

MongoDB：立即修复这个严重的RCE漏洞

MongoDB 服务器预认证漏洞可用于触发 DoS 条件

MongoDB库中存在多个漏洞，可用于在Node.js服务器上实现RCE

MongoDB 证实被黑，客户数据被盗

原文链接

https://www.securityweek.com/over-1400-mongodb-databases-ransacked-by-threat-actor/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ionut Arghire Ionut Arghire《超1400个 MongoDB 数据库遭勒索》