物聯(lián)網(wǎng)搜索引擎Shodan的創(chuàng)始人約翰·馬瑟利聲稱，由于流行數(shù)據(jù)庫軟件MongoDB的不安全配置和一些未打補(bǔ)丁的版本，導(dǎo)致系統(tǒng)管理員暴露了595.2T的數(shù)據(jù)。

1T=1024G

eBay、Foursquare，以及《紐約時(shí)報(bào)》均為開源數(shù)據(jù)庫MongoDB的大用戶，MongoDB是一款非關(guān)系型(NoSQL)數(shù)據(jù)庫。馬瑟利表示，將近3萬個(gè)數(shù)據(jù)庫由于使用未綁定本地主機(jī)的舊版本而暴露。

總共達(dá)595.2TB的數(shù)據(jù)暴露在互聯(lián)網(wǎng)上，可無需任何驗(yàn)證地公開訪問。

MongoDB最近于4月28日發(fā)布了一個(gè)維護(hù)性的版本2.4.14，默認(rèn)仍然在0.0.0.0打開端口監(jiān)聽。安全人員羅曼·史戴曼早在2012年2月就指出，MongoDB存在無需認(rèn)證高危漏洞。史戴曼指出，有漏洞的版本并沒有在配置文件mongodb.conf中設(shè)置綁定本機(jī)IP，即"bind_ip 127.0.0.1"。

馬瑟利表示，2.6版本的數(shù)據(jù)庫實(shí)例可能也受此漏洞影響。他指出，大多數(shù)暴露的數(shù)據(jù)庫實(shí)例運(yùn)行在云服務(wù)器上，包括數(shù)字海洋、亞馬遜、Linode和OVH，這是一個(gè)云實(shí)例比數(shù)據(jù)中心主機(jī)更容易有漏洞的趨勢。

“我覺得云鏡像并不常更新，因此不安全的版本和早先部署的舊版本就沒有了安全保證。”