3.5万个MongoDB数据库的约680TB数据存被盗风险!

安全 MongoDB
近日,物联网搜索引擎 Shodan 的创造者,约翰·马瑟里(John Materly)实施了一次扫描,得到了以下结果:网上至少有3.5万个可以公开访问的不安全MongoDB 数据库,该数字似乎正越变越大。对应的684.8 TB资料存在被盗风险。

安全研究人员为这次“非常严重的”隐私问题敲响了警钟。

网上至少有3.5万个可以公开访问的不安全MongoDB 数据库,该数字似乎正越变越大。对应的684.8 TB资料存在被盗风险。

3.5万个MongoDB数据库的约680TB数据存被盗风险!

近日,物联网搜索引擎 Shodan 的创造者,约翰·马瑟里(John Materly)实施了一次扫描,得到了上述结果。

马瑟里早在七月份就对该问题就发出了警告,当时,他发现了近3万个未验证的MongoDB实例。在安全研究人员克里斯·维克里(Chris Vickery)近期发现这些数据库泄露的信息与 2500 万用户账户和多种应用和服务相关时,马瑟里决定重新研究一下该问题。

马瑟里的***研究结果表明,比起七月份,不安全的MongoDB 实例已经增长了 5000 个,考虑到新版本 MongoDB 并没有给出往往不安全的默认配置,该结果十分令人震惊。

MongoDB 3.0 及其后续版本只会监听localhost ,因此将不会接受来自互联网的远程连接。然而,马瑟里发现, 3.0.7 版本在所有存在问题的数据库中占比***, 3.0.6 版本也在前五名之列,两者分别有 3010 和 1256个实例。

马瑟里在本周二发表的一篇博文中写道:“MongoDB 3.0 成为了代表,这意味着很多人改变了 MongoDB 的默认设置,却将它们替换成了 更不安全的版本,而且没有启用任何保护数据库的防火墙。有可能的情况是,用户升级了实例,但沿用了他们现有的、不安全的配置文件。”

托管这些不安全的 MongoDB 实例最多的云计算平台前三名是 DigitalOcean 、亚马逊和阿里巴巴。

维克里的研究结果表明,泄露的数据包括姓名、电子邮件地址、出生日期、邮寄地址、私人信息、不安全的密码哈希值。如果这些结果可以推广到其它暴露的数据库,那么这个问题将非常严重,而且不局限于 MongoDB 。

马瑟里说:“我已经一遍又一遍地讲过,这个问题不是 MongoDB 独有的: Redis 、 CouchDB 、 Cassandra 、 Riak 都会受到错误配置的影响。”

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2015-03-05 14:27:13

2022-04-29 10:17:51

数据库Group-IB数据库安全

2021-10-09 12:56:45

数据库泄露网络攻击网络安全

2022-07-21 12:49:21

数据泄露黑客

2021-10-20 13:39:01

数据库数据库安全技术

2021-10-26 22:43:05

数据库安全存储

2015-10-10 11:07:41

2017-11-08 09:03:55

MongoDB数据库步骤

2019-08-20 14:02:07

MongoDB数据库恢复数据

2022-03-10 09:08:43

数据库Mongodb数据库转

2020-07-06 14:20:43

MongoDB数据库安全

2024-08-21 15:17:06

2011-07-26 13:55:01

MongoDB备份与恢复

2017-01-15 21:16:44

2023-10-26 07:05:58

MySQL数据库

2019-05-06 16:15:36

Mongodb GUI管理数据库

2021-08-04 09:00:53

Python数据库Python基础

2019-05-07 15:39:54

Mongodb GUI工具数据库

2013-07-22 10:27:06

Ubuntu论坛数据黑客

2013-12-02 09:19:30

手机失窃手机安全数据库
点赞
收藏

51CTO技术栈公众号