网上至少有3.5万个可以公开访问的不安全MongoDB 数据库,该数字似乎正越变越大。对应的684.8 TB资料存在被盗风险。

近日,物联网搜索引擎 Shodan 的创造者,约翰·马瑟里(John Materly)实施了一次扫描,得到了上述结果。

马瑟里早在七月份就对该问题就发出了警告,当时,他发现了近3万个未验证的MongoDB实例。在安全研究人员克里斯·维克里(Chris Vickery)近期发现这些数据库泄露的信息与 2500 万用户账户和多种应用和服务相关时,马瑟里决定重新研究一下该问题。

马瑟里的最新研究结果表明,比起七月份,不安全的MongoDB 实例已经增长了 5000 个,考虑到新版本 MongoDB 并没有给出往往不安全的默认配置,该结果十分令人震惊。

MongoDB 3.0 及其后续版本只会监听localhost ,因此将不会接受来自互联网的远程连接。然而,马瑟里发现, 3.0.7 版本在所有存在问题的数据库中占比高, 3.0.6 版本也在前五名之列,两者分别有 3010 和 1256个实例。

马瑟里在本周二发表的一篇博文中写道:“MongoDB 3.0 成为了代表,这意味着很多人改变了 MongoDB 的默认设置,却将它们替换成了 更不安全的版本,而且没有启用任何保护数据库的防火墙。有可能的情况是,用户升级了实例,但沿用了他们现有的、不安全的配置文件。”

托管这些不安全的 MongoDB 实例最多的云计算平台前三名是 DigitalOcean 、亚马逊和阿里巴巴。

维克里的研究结果表明,泄露的数据包括姓名、电子邮件地址、出生日期、邮寄地址、私人信息、不安全的密码哈希值。如果这些结果可以推广到其它暴露的数据库,那么这个问题将非常严重,而且不局限于 MongoDB 。

马瑟里说:“我已经一遍又一遍地讲过,这个问题不是 MongoDB 独有的: Redis 、 CouchDB 、 Cassandra 、 Riak 都会受到错误配置的影响。”

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2022-12-30 11:39:36
云资讯 构造云原生数据战略三大核心因素 亚马逊云科技2022 re:Invent全球大会发布多项新功能
亚马逊云科技指出了构建云原生数据战略的三大关键构成:建立面向未来的云原生数据基础设施;实现高效、跨组织的数据一体化融合;借助教育和工具,使数据普惠化。 <详情>
2021-07-14 17:06:00
市场情报 MongoDB重磅发布MongoDB 5.0和无服务器Atlas,与开发者共见未来
MongoDB总裁兼首席执行官Dev Ittycheria表示:“作为全球卓越的应用数据平台,MongoDB 致力于构建立足于当下和面向未来的开发应用程序。 <详情>
2020-11-24 17:01:00
互联网 2020 MongoDB中国用户线上大会成功举行
2020年11月24日今天,全球领先的现代通用数据库平台提供商MongoDB(纳斯达克代码:MDB)成功举办“2020 MongoDB中国线上用户大会”。来自不同行业的开发者、企业客户和优质 <详情>
2019-11-28 09:09:00
国际资讯 阿里云与NoSQL数据库达成战略合作
开源数据库厂商MongoDB与阿里云在北京宣布达成战略合作,作为合作的第一步,最新版MongoDB 4.2数据库产品将率先上线阿里云平台。 <详情>
2019-11-27 12:16:00
云资讯 MongoDB与阿里云达成战略合作 新数据库独家上线阿里云
11月26日,开源数据库厂商MongoDB与阿里云在北京达成战略合作,作为合作的第一步,最新版MongoDB 4.2数据库产品正式上线阿里云平台。 <详情>