互聯(lián)網(wǎng)MongoDB數(shù)據(jù)庫泄露數(shù)據(jù)量高達595.2TB
責(zé)編:mhshi |2015-07-23 11:05:19知名設(shè)備安全搜索引擎Shodan的創(chuàng)始人John Matherly表示,全網(wǎng)MongoDB數(shù)據(jù)庫泄露數(shù)據(jù)量高達595.2TB。其中原因多是為MongoDB版本過于老舊或是隨意放在公網(wǎng)沒有經(jīng)過身份驗證。
風(fēng)險描述
MongoDB是一個不錯的開源SQL數(shù)據(jù)庫,許多公司如“紐約時報”、“易趣”、“Foursquare”,都采用了這種數(shù)據(jù)庫。當(dāng)然,在中國的使用案例也很多,這點大家從安全漏洞報告平臺的海量上報中就能看出。
MongoDB的最新版本是3.0.4,而直到2.4.14版本的MongoDB還默認監(jiān)聽的是0.0.0.0的地址,也就是說接受來自公網(wǎng)的直接訪問。
自2012年Roman Shtylman提出這個漏洞以來,到現(xiàn)在還有不少躺槍的廠商,況且后來Roman Shtylman還發(fā)現(xiàn)不少MongoDB連基本的認證都沒裝。RMongoDB漏洞版本沒有在mongodb.conf文件里配置bind_ip 127.0.0.1,這會讓服務(wù)器暴露在公網(wǎng)里,猶如沒穿衣服的少女處于虎視眈眈的大漢之中。正確的做法是盡可能把外網(wǎng)開放關(guān)掉,在管理需要的時候再開 放,甚至干脆就不開放。MongoDB2.6也可能存在問題。
大多數(shù)暴露的數(shù)據(jù)庫運行在云服務(wù)器上,如亞馬遜、數(shù)字海洋(Digital Ocean)之類的云服務(wù)商。Roman Shtylman認為這是因為云鏡像并不會經(jīng)常更新,這才導(dǎo)致了數(shù)據(jù)版本老舊,以及不安全版本軟件的部署。
大多不設(shè)防
Roman Shtylman的團隊并不是第一次留意到MongoDB的安全,在2015年二月,他們曾宣布近四萬的MongoDB實例容易受到網(wǎng)絡(luò)攻擊。在德國薩爾 州大學(xué)的三名學(xué)生,在數(shù)千WEB服務(wù)器上發(fā)現(xiàn)MongoDB數(shù)據(jù)庫運行在外網(wǎng)的TCP 27017端口,并沒有適當(dāng)?shù)姆烙胧?/p>
德國的專家小組報告說,他們不使用任何特殊的黑客工具,就可以輕易對這類MongoDB數(shù)據(jù)庫進行讀寫操作。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧