错误配置的MongoDB数据库暴露客户数据

错误配置的MongoDB数据库暴露客户数据

分子、活动家和国家都在你的组织周围寻找安全漏洞，如果不是他们，你就得担心那些心怀不满的内部人士用斧头来磨。但事实是最大的威胁之一是善意的员工，他们不遵守或不知道安全规则。

另一个例子在本周曝光，安全研究员和记者BobDiachenko发现亚马逊上的一个配置错误的MongoDB服务器显然被数据管理公司Veeam Software的工作人员使用。使用Shodan搜索引擎Diachenko在9月5日访问了该数据库。直到9月9日，在他和TechCrunch的一名记者几次通知Veeam之后，它才得到了保护。

最新消息：Veeam联席CEOPeter McKay就此事件在网上道歉。“不幸的是，本周，我们发生了一个事件，我们的一个营销数据库被错误地留给未经授权的第三方看......在我们网络的一些维护过程中，这个包含营销记录(可能包括姓名、电子邮件地址和IP地址)的单一营销数据库由于人为错误而被保持可见和暴露。虽然数据库不易访问，但未经授权的第三方可以看到。一旦我们验证了这个问题，我们就立即采取行动来正确地保护数据库。虽然据报告有4.4亿份电子邮件记录，但其中许多是同一电子邮件的重复或倍数，经审查，大约有450万个独特的电子邮件地址。我可以向你保证没有敏感的信息，因为Veeam不从其客户、潜在客户或合作伙伴那里收集敏感的个人信息。非常不幸的是，报道的消息没有准确的事实，虽然时间对记者来说是至关重要的，但对我们来说，重要的是彻底研究这一事件，并向我们的客户、合作伙伴和潜在客户提供准确的信息。

200GB的数据库包括显然为营销团队所使用的客户信息。迪亚琴科说，它有4.45亿张记录，包括客户的名字和姓氏、电子邮件、电子邮件收件人类型(最终客户或合作伙伴)、国家、属性值(在某些情况下有IP地址、引用URL地址、用户代理等)，以及2013年至2017年期间的一般客户组织规模。

迪亚琴科写道：“即使考虑到数据的不敏感性，在网上公开提供如此庞大、结构化和有针对性的数据集也可能成为垃圾邮件发送者和钓鱼者的真正宝箱。

关于配置错误和公开可用的MongoDB数据库的新闻报道并不难找到。2017年1月，安全研究人员发现大约2.7万个MongoDB数据库被抹去并被扣留以换取赎金。

资讯科技署利用开放源码Elasticsearch搜索引擎，在内部梳理日志及其他资料。

在加拿大，面对互联网的大约230个MongoDB数据库是估计27000个配置不良的数据库之一.

保护软件和硬件的配置是互联网安全中心列出的基本安全控制之一，唯一的方法是“严格的配置管理和更改控制过程”。

诚然，当所有的资产都在IT部门的控制之下时，让一小群人来监督所有的公司硬件和软件就更容易了。在一个时代，更难的是，任何工作人员都可以打开服务器或存储在云服务上，并将其转储到客户数据中。然而，必须建立和执行关于何时和如何使用外部存储的定期安全意识和规则。