【世界时快讯】微软职业数据开放MongoDB数据库
连接到MongoDB数据库的安全故障显示,微软的移动专业页面攻击已被迅速修复。
在MacKeeper的一篇博文中,安全团队表示,MongoDB数据库容易受到攻击,可能会通过微软的移动专业页面提供任意HTML。
微软用来处理招聘页面背后数据库的第三方提供商是移动应用和网络开发提供商Punchkick Interactive,负责设置数据库的安全设置。
(资料图片仅供参考)
问题在于对punckick-ran MongoDB数据库的保护。数据库本身没有写保护,因此攻击者有机会修改数据库的数据以及通过移动Microsoft职业页面提供的任何基于html的工作列表页面。
这不仅会导致酒吧攻击,还会导致浏览器攻击和网络钓鱼活动。此外,还暴露了连接到数据库的微软员工的凭据。
微软不是唯一可能受到身份验证错误影响的公司。曝光数据库截图还显示,酒店丽思和万豪酒店也可能受到影响。
截至2月5日,该漏洞已修复。在MacKeeper的“出色事件响应”中,当问题被透露给互联网公司和微软后,PunchKick在一个小时内就处理了这个问题。不过,保安队也说了:
虽然责任不在微软,而在负责处理移动平台和后端系统的第三方提供商,但该漏洞确实突出表明,链中的一个弱点可能会影响到与服务连接的每个公司。
MongoDB战略副总裁凯利施蒂曼说,
最近,发表了一篇博客文章,声称一个用户处于危险之中,因为他没有正确保护他们的MongoDB实例。(.潜在的问题是用户在不启用安全性的情况下如何配置部署的结果。MongoDB中没有安全问题。——MongoDB包含广泛的安全功能。"
“我们鼓励所有用户遵守我们的安全规定。以下是安全最佳实践的总结。”
关键词: