วิเคราะห์เหตุการณ์แฮ็ก MongoDB ผ่านการสร้าง Honeypot

เวลาเราพัฒนาบนพื้นฐานของ MongoDB มักมีกรณีที่อาชญากรแรนซัมแวร์เจาะเข้ามาในเซิร์ฟเวอร์ ลบข้อมูลใน DB ทิ้ง แล้วเรียกค่าไถ่เป็นบิตคอยน์อยู่บ่อยครั้ง ส่วนตัวผมเคยเห็นคนที่ทำโปรเจกต์ทีมอยู่โต๊ะข้าง ๆ เจอเหตุการณ์แบบนี้จริง ๆ เมื่อต้นปี 2018 ตอนนั้นผมเองก็ใช้งาน MongoDB อยู่เหมือนกัน เลยตกใจมาก แต่ก็ไม่รู้ชัด ๆ ว่าพวกเขาถูกเจาะเข้ามาได้อย่างไร

ขอแนะนำบทความที่สร้าง Honeypot หรือก็คือเซิร์ฟเวอร์ล่อเป้าที่จงใจเปิดเผยช่องโหว่ไว้เพื่อดึงดูดผู้โจมตีเข้ามา แล้วนำคิวรี MongoDB ที่ถูกใช้ในอาชญากรรมแฮ็กประเภทนี้มาวิเคราะห์แบบคร่าว ๆ (ภาษาเกาหลี) ดูเหมือนว่าถ้าเซิร์ฟเวอร์ DB สามารถถูกเข้าถึงได้จากอินเทอร์เน็ตภายนอก การสแกนก็จะทำให้การมีอยู่ของมันถูกเปิดเผยอย่างรวดเร็ว และพอเป็นแบบนั้น วันหนึ่งก็อาจถูกเจาะทะลุผ่านช่องโหว่บางอย่างได้ง่าย ๆ เช่นกัน สุดท้ายแล้ว DB ก็ควรถูกซ่อนไว้อย่างแน่นหนาไม่ให้ถูกเปิดเผยโดยตรง

อ้างอิง - แนวคิดของ Honeypot:

http://www.itworld.co.kr/tags/58302/%ED%97%88%EB%8B%88%ED%8C%9F/120233