微软的职业数据开放开放的MongoDB数据库
连接到一个MongoDB数据库的安全故障,暴露了微软的移动职业页面攻击已迅速修补。
在MacKeeper的一篇博客文章中,安全团队表示,MongoDB数据库很容易受到攻击,可能通过微软的移动版职业页面提供任意HTML。
微软用来处理招聘页面背后数据库的第三方提供商是Punchkick Interactive,这是一家移动应用和网络开发提供商,负责设置数据库的安全设置。
问题在于PunchKick-ran MongoDB数据库的保护。数据库本身没有写保护,因此攻击者有机会修改数据库的数据和通过移动Microsoft careers页面提供的任何基于html的工作列表页面。
这不仅会导致酒吧攻击,还会导致浏览器攻击和网络钓鱼活动。此外,连接到数据库的微软员工的凭证也被曝光。
微软并不是唯一一家可能受到身份验证错误影响的公司。曝光的数据库截图还显示,丽兹酒店和万豪酒店可能也受到了影响。
截至2月5日,漏洞已经修复。在MacKeeper所说的“出色的事件响应”中,PunchKick在问题被揭露给网络公司和微软一个小时内就处理了这个问题。然而,安全团队也表示:
虽然责任不在微软,而在负责处理移动平台和后端系统的第三方提供商,但这一漏洞确实突显出,链中的一个弱点可能影响到连接到一个服务的每个公司。
MongoDB战略副总裁Kelly Stirman说:
最近发表了一篇博客文章,声称一个用户没有正确地保护他们的MongoDB实例,因此处于危险之中。(. .潜在的问题是用户在不启用安全性的情况下如何配置其部署的结果。MongoDB不存在安全问题——MongoDB包含了广泛的安全功能。”
“我们鼓励所有用户遵守我们的安全规定。这里总结了安全最佳实践。”