不安全的 MongoDB 数据库爆出大秘密：俄政府拥有访问在俄企业的后门账户

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

一名荷兰研究员偶然发现了俄罗斯政府用于访问在俄罗斯运营的当地和外国企业服务器的后门账户。

这个后门账户是从数千个未经密码保护的MongoDB数据库中发现的。任何发现该账户的黑客均可借此从数千家在俄罗斯运行的企业中窃取敏感信息。

Victor Gevers在访谈中表示，“我第一次是在一家俄罗斯乐透网站的用户表中发现这些凭证的。我必须深入理解克里姆林宫要求获得对处理金融交易系统的远程访问权限这件事。”

Gevers甚至发现这个后门账户还存在于属于乌克兰内政部的不安全的MongoDB数据库中，该数据库内容是关于乌克兰总检察长办公室对腐败政客进行的ERDR调查。这件事非常奇怪，因为当时俄罗斯和乌克兰的冲突已经持续了至少两年的时间。

Gevers当时担任GDI基金会主席，是一名世界顶级的白帽黑客。他的研究并不包含深挖企业日志来判断这个账户的作用，因此目前尚不清楚俄罗斯政府使用这个账户的目的是否仅和检索金融相关信息还是已经修改了数据。

Gevers表示，“多年来，我们都在搜索开放的MongoDB数据库。当我们调查某个MongoDB实例时，我们通过将搜索面包屑如所有人的电子邮件限制到最小程度的方式尊重隐私问题。”他表示，“使用这个密码的所有系统已经可供任何人访问。MongoDB数据库默认设置，因此未认证的任何人都具有CRUD（创建、读取、更新和删除）访问权限。”

Gevers指出，“我们花费了很长时间并已经做出了很多努力联系并警告克里姆林宫注意这个问题。但显然我们并未得到任何回应。”他表示“我们仍然从很多企业中找到了俄罗斯数据库，但在前几个月中它们已经消失不见了。”

目前尚不清楚克里姆林宫是否转而使用非描述性账户或为每家公司使用唯一的用户名和密码。

虽然在俄罗斯经营的公司必须遵守当地法律且为俄罗斯政府提供访问其部分财务数据的权限，但出于监督原因，它们也应该确保MongoDB数据库不会暴露给互联网上的任何人。

https://www.zdnet.com/article/unsecured-mongodb-databases-expose-kremlins-backdoor-into-russian-businesses/