安全研究人員為這次“非常嚴(yán)重的”隱私問題敲響了警鐘。

網(wǎng)上至少有3.5萬個(gè)可以公開訪問的不安全MongoDB 數(shù)據(jù)庫，該數(shù)字似乎正越變?cè)酱?。?duì)應(yīng)的684.8 TB資料存在被盜風(fēng)險(xiǎn)。

近日，物聯(lián)網(wǎng)搜索引擎 Shodan 的創(chuàng)造者，約翰·馬瑟里(John Materly)實(shí)施了一次掃描，得到了上述結(jié)果。

馬瑟里早在七月份就對(duì)該問題就發(fā)出了警告，當(dāng)時(shí)，他發(fā)現(xiàn)了近3萬個(gè)未驗(yàn)證的MongoDB實(shí)例。在安全研究人員克里斯·維克里(Chris Vickery)近期發(fā)現(xiàn)這些數(shù)據(jù)庫泄露的信息與 2500 萬用戶賬戶和多種應(yīng)用和服務(wù)相關(guān)時(shí)，馬瑟里決定重新研究一下該問題。

馬瑟里的***研究結(jié)果表明，比起七月份，不安全的MongoDB 實(shí)例已經(jīng)增長了 5000 個(gè)，考慮到新版本 MongoDB 并沒有給出往往不安全的默認(rèn)配置，該結(jié)果十分令人震驚。

MongoDB 3.0 及其后續(xù)版本只會(huì)監(jiān)聽localhost ，因此將不會(huì)接受來自互聯(lián)網(wǎng)的遠(yuǎn)程連接。然而，馬瑟里發(fā)現(xiàn)， 3.0.7 版本在所有存在問題的數(shù)據(jù)庫中占比***， 3.0.6 版本也在前五名之列，兩者分別有 3010 和 1256個(gè)實(shí)例。

馬瑟里在本周二發(fā)表的一篇博文中寫道：“MongoDB 3.0 成為了代表，這意味著很多人改變了 MongoDB 的默認(rèn)設(shè)置，卻將它們替換成了 更不安全的版本，而且沒有啟用任何保護(hù)數(shù)據(jù)庫的防火墻。有可能的情況是，用戶升級(jí)了實(shí)例，但沿用了他們現(xiàn)有的、不安全的配置文件。”

托管這些不安全的 MongoDB 實(shí)例最多的云計(jì)算平臺(tái)前三名是 DigitalOcean 、亞馬遜和阿里巴巴。

維克里的研究結(jié)果表明，泄露的數(shù)據(jù)包括姓名、電子郵件地址、出生日期、郵寄地址、私人信息、不安全的密碼哈希值。如果這些結(jié)果可以推廣到其它暴露的數(shù)據(jù)庫，那么這個(gè)問題將非常嚴(yán)重，而且不局限于 MongoDB 。

馬瑟里說：“我已經(jīng)一遍又一遍地講過，這個(gè)問題不是 MongoDB 獨(dú)有的： Redis 、 CouchDB 、 Cassandra 、 Riak 都會(huì)受到錯(cuò)誤配置的影響。”