安全研究人员为这个“非常严重”的隐私问题敲响了警钟。网上至少有35,000个可公开访问的不安全MongoDB数据库,而且这个数字似乎还在增长。对应的684.8TB数据存在被盗风险。物联网搜索引擎Shodan的创始人JohnMaterly最近进行了一次扫描,得到了上述结果。早在7月份,Mathery就曾警告过这个问题,当时他发现了近30,000个未经身份验证的MongoDB实例。当安全研究员ChrisVickery最近发现数据库泄露了与2500万用户帐户以及各种应用程序和服务相关的信息时,Mathery决定重新审视这个问题。Mathery的最新研究表明,自7月以来已经有5,000个不安全的MongoDB实例,考虑到新版本的MongoDB没有附带通常不安全的默认配置,这令人震惊。MongoDB3.0及后续版本将只在localhost上侦听,因此不会接受来自Internet的远程连接。然而,Mathery发现3.0.7版在所有有问题的数据库中所占百分比最高,3.0.6版也位居前五,分别有3010个和1256个实例。“MongoDB3.0成为代表,这意味着很多人改变了MongoDB的默认设置,将其替换为安全性较低的版本,并且没有启用任何保护数据库的防火墙。有可能用户升级了实例但保留了他们现有的,不安全的配置文件。”托管这些不安全MongoDB实例最多的前三大云计算平台是DigitalOcean、亚马逊和阿里巴巴。Vickery的调查结果显示,泄露的数据包括姓名、电子邮件地址、出生日期、邮寄地址、私人信息和不安全的密码哈希值。如果这些结果可以泛化到其他暴露的数据库,那么这个问题就很严重了,而且不局限于MongoDB。”我反复说过,这个问题不是MongoDB独有的:Redis、CouchDB、Cassandra、Riak都受到错误配置的影响,”Mathery说。
