MongoDB又出重大事故 超2亿中国用户简历被曝光

栏目: 数据库 · 发布时间: 5年前

【天极网网络频道】近年来,因频频发生的数据泄露和网络安全事件,MongoDB成为行业关注的焦点。基于简单的部署方式、高效的扩展能力、多样化的语言接口,并借助云计算的势头,MongoDB一度在全球数据库市场占据第四名。但是,它的安全风险也不可小觑。

据InfoQ报道,有安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含854GB数据,共有202730434条记录,主要是中国用户简历,内容非常详细,包括姓名、家庭住址、电话号码、电子邮件、婚姻状况、政治关系等信息。

据Hacken Proof网络风险研发主管Bob Diachenko 认为,这应该是服务器数据在线泄露。

MongoDB又出重大事故 超2亿中国用户简历被曝光

它来自于一个被删除的GitHub存储库,泄露的简历主要来源之一是bj.58.com,但数据是第三方泄露,并非官方泄露。

报道还指出,该安全研究人员上个月也曾发现一个类似的MongoDB服务器,暴露了超过6600万条记录,似乎最初来自LinkedIn。

在一篇名为《炙手可热的MongoDB,安全吗》中,作者指出MongoDB的三大安全问题。一是默认配置安全问题。2016年爆发的MongoDB勒索事件,超33000个数据库遭遇入侵勒索,原因就是在默认部署情况下,MongoDB无需身份验证,即可登录。不法分子只要在互联网上发现MongoDB的地址和端口就能通过 工具 直接访问MongoDB,并拥有MongoDB全部权限。

作者进一步解释,MongoDB默认通过最简单部署方式,最大限度提高运行速度,以在虚拟机(低配机)上运行而定制的,并未充分考虑MongoDB的安全性。

其次,MongoDB官方文档,如针对身份验证,传输加密,网络配置的文档、指南并不规范,容易误导MongoDB管理员。

最后是,一些MongoDB环境是为了单一项目或者是测试环境搭建,搭建者并不关心MongoDB的安全问题。

MongoDB又出重大事故 超2亿中国用户简历被曝光

二是自身安全问题。根据CVE列表,MongoDB从2009年面世至今共发现13个漏洞,主要存在敏感数据泄露、越权操作和登录调用的函数存在缓冲区溢出漏洞,会导致服务宕机问题。

三是Web安全问题。鉴于MongoDB的部署环境和使用领域,导致从Web向MongoDB发动的攻击才是MongoDB面临的最大威胁。这种攻击主要分成两类:Rest和CSRF联合攻击,注入攻击。

如果仔细梳理,MongoDB一直是黑客热衷攻击的目标之一。2017年8月,三个黑客团伙劫持了MongoDB逾26000多台服务器,其中规模最大的一组超过22000台。

以后,这种网络安全事件还会不断发生。对组织来说,应该认识到正确保护第三方数据库服务器的重要性。一方面,需要提高自身安全意识,另一方面,要采取一些措施,比如更换端口、公网屏蔽、权限控制等。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

程序员面试宝典

程序员面试宝典

欧立奇、刘洋、段韬 / 电子工业出版社 / 2006-7 / 39.00元

本书取材于各大IT公司历年面试真题(包括笔试题、口试题、电话面试、英语面试,以及逻辑测试和智商测试)。通过精确详细的分类,把在应聘程序员(含网络、测试等)过程中所遇见的常见考点分为21章。不仅对传统的C系语言考点做了详尽的解说,包括面向对象问题、sizeof问题、const问题、数据结构问题等。还根据外企出题最新特点,针对设计模式问题、C#问题、网络问题、数据库问题、NET问题等,做了深入的说明。......一起来看看 《程序员面试宝典》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

html转js在线工具
html转js在线工具

html转js在线工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具