安全研究人员为这次“非常严重的”隐私问题敲响了警钟。
网上至少有3.5可公开访问的1万人不安全MongoDB 数据库,这个数字似乎越来越大。684.8 TB数据有被盗的风险。
近日,物联网搜索引擎 Shodan 创造者,约翰·马瑟里(John Materly)实施扫描,得到上述结果。
马瑟里早在7月就警告了这个问题,当时他发现了近3万个未经验证的问题。MongoDB例子。·维克里(Chris Vickery)马瑟里里最近发现这些数据库泄露的信息与 2500 万用户账户和各种应用程序和服务有关时,他决定重新研究这个问题。
马瑟里的***研究结果表明,与7月相比,不安全MongoDB 实例增加了 5000 ,考虑到新版本 MongoDB 经常不安全的默认配置没有给出,结果非常令人震惊。
MongoDB 3.0 及其后续版本监控localhost ,所以不会接受互联网的远程连接。然而,马瑟里发现,3.0.7 版本在所有问题数据库的比例***,3.0.6 版本也在前五名中,分别有 3010 和 1256个例子。
马瑟里在周二“MongoDB 3.0 已经成为代表,这意味着许多人已经改变了 MongoDB 的默认设置取代了 更不安全的版本,没有使用任何保护数据库的防火墙。用户可能会升级实例,但使用他们现有的不安全配置文件。”
这些不安全的 托管MongoDB 实例最多的云计算平台前三名是 DigitalOcean ,亚马逊和阿里巴巴。
维克里的研究结果表明,泄露的数据包括姓名、电子邮件地址、出生日期、邮寄地址、私人信息和不安全密码哈希值。如果这些结果可以推广到其他暴露的数据库,问题将非常严重,而不限于 MongoDB 。
马瑟里说:“我一遍又一遍地说,这个问题不是 MongoDB 独有: Redis 、 CouchDB 、 Cassandra 、 Riak 会受到错误配置的影响。”
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
