错误配置MongoDB数据库:微软招聘网站曝数据泄露安全漏洞

pasckr

---

    （原标题：错误配置MongoDB数据库：微软招聘网站曝数据泄露安全漏洞）
摘要：微软刚刚为自家移动版招聘网站封堵了一个注册用户信息泄露漏洞，以帮大公司追索错误配置部署的MongoDB在线数据库而知名的安全研究人员Chris Vickery发现了这一问题（且与他此前的多个发现类似）。此前，Vickery曾帮MacKeeper找到了泄露超过1300万用户细节的漏洞，该公司在感动之余给还给了他一个职位。

微软、Ritz、万豪等网站均受到了影响。
根据MacKeeper网站上的一篇博客文章，Vickery已经披露了帮助微软确保可通过互联网获取到的MongoDB数据库的安全细节（无需密码且允许攻击者修改内容）。
其中提到的数据库属于Punchkick Interactive（一家移动Web开发公司），微软将移动版招聘网站的开发交给了它。
除了微软，同样的数据库问题还影响到了该公司的许多其它客户，比如万豪和丽思卡尔顿酒店。

攻击者可读取、亦可写入数据库内容。
尽管暴露所有注册用户信息已经很糟糕，但该漏洞更危险的地方却在于能够获得数据库的写入访问权限、插入恶意内容、以及将之嵌入到网站本身。
这种情形可导致经典的“下载型攻击”，因为黑客很容易找到让恶意软件难以被检测到的方法。万幸的是，在Vickery通过邮件告知风险之后，Punchkick在一个小时内就极速修复了它。
[编译自：Soft Pedia]