关闭

展开

职位空缺

招标资料

联络我们

NoSQL数据库 设定正确免被勒索

勒索软件近年肆虐,香港电脑保安事故协调中心去年便接获309宗本地加密勒索软件事故报告,较2015年上升506%,预料这类攻击会随着网络罪行「包办服务」日趋盛行而恶化。

勒索软件的杀伤力惊人,除了针对个人电脑及档案伺服器外,最近「魔爪」更伸延至一些存取控制寛松的NoSQL数据库。与传统数据库相比,NoSQL数据库简单易于部署,成本低,更可储存不同格式的数据,因此大量应用于云端服务及大数据分析上。

然而,部份NoSQL数据库因设备设定错误,在没有任何存取控制下曝露于互联网,黑客可在无需认证的情况下以特权用户身份在目标数据库上删除数据,然后要求受害者限时支付指定金额以赎回数据库。不过,海外网络保安机构的资料显示,大部分受害者就算付了赎金,也未能拿回资料,事缘黑客入侵受害者的数据库后同时删除数据,令事主蒙受双重损失。

为减低此类攻击,NoSQL数据库用户要做好基本的防护措施,包括设定网路及数据库存取控制,以及设置正确的数据库保安设定。如非必要,切勿对外开放数据库。同时,要定期备份重要数据,并离线保存。若不幸遭到勒索,受害者絶对不要就范,以免助长恶行。