Dalil是一款类似于Truecaller的智能电话本应用程序，但用户仅限于沙特和其他阿拉伯地区。由于该应用所使用的MongoDB数据库可以在不输入密码的情况下在线访问，导致用户数据泄露时间持续一周！安全研究人员Ran Locar和Noam Rotem发现，该漏洞暴露的数据库中包含这款APP的所有数据：从用户个人详细信息到活动日志，一应俱全。

外媒ZDNet对样本进行审查之后，发现该数据库中包括以下信息：

• 用户手机号码

• 应用注册数据（完整姓名、电子邮件地址、Viber账号、性别等等）

• 设备信息（生产日期和型号、序列号、IMEI、MAC地址、SIM号码、系统版本等等）

• 电信运营商细节

• GPS坐标（不适用于所有用户）

• 个人通话详情和号码搜索

基于与每个条目相关联的国家/地区代码，数据库中包含的大多数数据属于沙特用户，此外还有少部分用户来自埃及，阿联酋，欧洲甚至一些以色列/巴勒斯坦人。显然这些数据非常的敏感，甚至可以通过GPS坐标数据进行跟踪。

目前仍然有大约585.7GB的信息在暴露中。 Locar说每天都会添加新记录，这意味着这是应用程序的生产服务器，而不是废弃的测试系统或冗余备份。研究人员告诉ZDNet，仅在上个月就已经注册了大约208,000个新的独特电话号码和4400万个应用事件。根据Play商城显示的APP信息，Dalil的下载次数已经超过500万。

MongoDB长期以来，作为“最受欢迎的 NoSQL 数据库”，MongoDB 的安全问题一直备受关注，而近年来的它却多次在安全事件报道中以“负面”形象露面。

2016 年 12 月曝出的“MongoDB 启示录”事件引发热议。GDIFoundation 安全研究人员 Victor Gevers 的一条推文将 MongoDB 勒索事件送入公众视野。多方黑客开始攻击无须身份验证的开放式MongoDB 数据库实例，并加密攻破的数据库内容，继而借此索取赎金，金额为 0.15 到 1 个比特币不等，所涉数据库实例上万。

2017 年 9 月，三个黑客团伙劫持了 2.6 万余台 MongoDB 数据库服务器，其中规模最大的一组超过 22000 台，安全专家分析表明这一波仍属于此前事件的辐射延续。

2018年12月28日，推特用户BobDiachenko爆料称，一个包含2.02亿份中国人简历信息的数据库泄露，这些简历内容非常详细，包括姓名、生日、手机号码、邮箱、婚姻状况、政治面貌和工作经历等。关于此次事件具体详情可戳文章《你的简历安全吗？2.02亿中国求职者简历遭泄露》了解更多。

安全站点HackenProof的报告曾称，这是由于MongoDB数据库没有采取任何安全保护措施，所以致使了损失。

但也有很多人认为MongoDB只是躺枪，真实的原因是使用数据库的人没有做必要的安全配置。

那么我们应该如何保证MongoDB的安全性？

• 绑定局域网IP，杜绝互联网访问

版本3.6之前，MongoDB默认绑定的是0.0.0.0，这就意味着我们可以通过互联网访问MongoDB，那黑客当然也可以。这样的默认配置是一个很大的安全漏洞，因此，如果你使用的MongoDB是3.6之前的版本，就要特别注意这一点了。

从3.6开始，MongoDB默认绑定localhost，这就意味着我们只能在本机访问MongoDB。在开发环境下，MongoDB绑定localhost没毛病。但是，在生产环境下，我们通常会有多个节点，这时需要修改MongoDB绑定的IP，通过配置net.bindIp可以实现。正确的做法应该是绑定局域网IP，这样只有局域网内的节点可以访问MongoDB。除非黑客端掉了你的服务器，否则他是没法访问你的MongoDB的。

• 配置防火墙，保护27017端口

MongoDB默认使用的是27017端口，我们应该配置本地防火墙把这个端口保护起来，禁止外部IP访问。27017端口是”open”的，这就意味着我们可以远程访问MongoDB数据库。

• 配置账号密码，对数据库进行访问控制

默认情况下，MongoDB并没有配置账号和密码，黑客只要登陆你的服务器之后可以直接查看数据库。给MongoDB配置账号密码，可以有效解决这个问题。

具体操作方法可参见：

https://blog.fundebug.com/2019/01/21/how-to-protect-mongodb/

参考来源：

• cnBeta.COM

• fundebug

• https://blog.csdn.net/csdnnews/article/details/86486355

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文~