运维配置缺陷导致大量MongoDB数据信息遭泄露

近日，黑客组织GhostShell泄露了大量的MongoDB数据库用户资料。

数据遭到大量泄露

据统计该组织目前泄露的数据已达3600万条之多。MongoDB作为一个基于分布式文件存储的数据库，其主要功能特性包括——面向集合存储，简单来说就是在MongoDB 中数据被分组存储在集合中，同时一个集合中可以存储无限多的文档。

模式自由就是说在MongoDB 中集合中存储的数据是无模式的文档以及采用无模式存储数据。同时支持完全索引，也就说MongoDB几乎支持SQL中的大部分查询，并且具有强大的聚合工具以及使用高效的二进制数据存储。

而这里的最大的问题就是MongoDB安全配置（MySQL），GhostShell也对此在发布了相关建议信息，在这里非双重身份验证（用户名/密码）是一个不可忽视的问题，还有就是开放的端口。

在公布的信息中给出了不安全的开放端口信息包括：22、53、80、81、 110、 137、 143 443、 465、 993、 995、 3000、8080、 27017、 3306、 6379、 8888、 28017、 64738、 25565等端口。

这些问题都暴漏了当前的数据安全问题。这起事件涉及了110个IP地址，而这些泄露的信息都包括用户名、电子邮件地址、电话等。最值得注意的是涉及的邮件地址就多达627296条。

安全问题不容忽视

MEAN 是 Web 社区中赢得大量关注的一种新兴架构，MEAN 代表着一种完全现代的 Web 开发方法：一种语言运行在应用程序的所有层次上，从客户端到服务器，再到持久层。而从传统数据库 MySQL到 NoSQL，再到无架构的、以文档为导向的持久存储MongoDB，从 LAMP 到 MEAN ，安全问题的确不容忽视。

就如这次事件一样，开放的端口、缺乏双重因素身份验证登录暴露了严重的安全隐患，攻击者甚至最后可以利用获取到的权限进行删除数据库，创建新的数据库以及篡改数据等操作。

此次事件并不是GhostShell组织首次行动，早在2012年该组织曾黑掉了100所大学的系统 （包括哈佛大学）。还曾被外界怀疑其泄露了来自NASA、FBI、ICPO（国际刑警组织）、美联储、五角大楼等多个重要政府机构和公司的160万个账户信息，也曾被指泄露了南非金融机构相关网站的7000多账户信息。

*参考来源：hackread，饭团君投递，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）