超過650TB MongoDB數據在互聯網上裸奔

著名安全專家兼Shodan搜索引擎的創建者John Matherly發現，超過650TB的MongoDB數據因數據庫配置不當而暴露在互聯網上，其中的大多數數據庫都托管在Amazon.com、阿里巴巴集團和DigitalOcean運營的云計算平臺上。

目前，至少有35000個受影響的MongoDB數據庫暴露在互聯網上，它們所包含的數據暴露在網絡攻擊風險之中。據估計，將近684.8TB的數據處于風險之中，最令人不安的是，受影響的數據還在一天天增加。

數據暴露原因分析

MongoDB是一款流行的可選開源數據庫，很多公司已經在使用它，包括《紐約時報》、Ebay和Foursquare。John Matherly聲稱，約30000個數據庫暴露在互聯網上，因為管理員使用的是舊版本的MongoDB，而這些舊版本無法綁定到本地主機。

Matherly已經就包含漏洞的在線MongoDB警告了IT行業。在7月份他揭露，很多MongoDB管理員因采用不當配置或未打補丁的 MongoDB版本，將約595.2TB的數據暴露在互聯網上。今年7月，他發現近30000個未經身份驗證的MongoDB實例，然后他決定長時間監控 這些數據庫的情況。

目前Matherly發現自今年7月份以來，又增加了5000個不安全的數據庫實例，這個出乎意料的結果使得新版本的數據庫不再有一個默認的安全配置。Matherly周二在一篇 博文 中寫道：

影響范圍 

最近，安全研究員Chris Vickery 確認 ，這些數據庫中暴露的信息與各種應用和服務的約2500萬用戶賬戶相關，其中包括1300萬OS X優化程序MacKeeper用戶。Vickery發現這些數據記錄包括姓名、電子郵件地址、出生日期、郵政地址、私人信息和不安全的密碼散列值。

Matherly觀察到，大多數受影響的數據庫都托管在Amazon.com、阿里巴巴集團和DigitalOcean運營的云計算平臺上。

不幸的是，很多其他脆弱的數據庫暴露在互聯網上，這其中包括Redis、CouchDB、Cassandra和Riak，這一點經過了Matherly的證實。Matherly解釋道：

*參考來源： SecurityAffairs ，FB小編JackFree編譯，有適當修改，轉載請注明來自FreeBuf黑客與極客（FreeBuf.com）