微软的职业数据开放开放的MongoDB数据库

连接到一个MongoDB数据库的安全故障，暴露了微软的移动职业页面攻击已迅速修补。

在MacKeeper的一篇博客文章中，安全团队表示，MongoDB数据库很容易受到攻击，可能通过微软的移动版职业页面提供任意HTML。

微软用来处理招聘页面背后数据库的第三方提供商是Punchkick Interactive，这是一家移动应用和网络开发提供商，负责设置数据库的安全设置。

问题在于PunchKick-ran MongoDB数据库的保护。数据库本身没有写保护，因此攻击者有机会修改数据库的数据和通过移动Microsoft careers页面提供的任何基于html的工作列表页面。

这不仅会导致酒吧攻击，还会导致浏览器攻击和网络钓鱼活动。此外，连接到数据库的微软员工的凭证也被曝光。

微软并不是唯一一家可能受到身份验证错误影响的公司。曝光的数据库截图还显示，丽兹酒店和万豪酒店可能也受到了影响。

截至2月5日，漏洞已经修复。在MacKeeper所说的“出色的事件响应”中，PunchKick在问题被揭露给网络公司和微软一个小时内就处理了这个问题。然而，安全团队也表示:

虽然责任不在微软，而在负责处理移动平台和后端系统的第三方提供商，但这一漏洞确实突显出，链中的一个弱点可能影响到连接到一个服务的每个公司。

MongoDB战略副总裁Kelly Stirman说:

最近发表了一篇博客文章，声称一个用户没有正确地保护他们的MongoDB实例，因此处于危险之中。(. .潜在的问题是用户在不启用安全性的情况下如何配置其部署的结果。MongoDB不存在安全问题——MongoDB包含了广泛的安全功能。”

“我们鼓励所有用户遵守我们的安全规定。这里总结了安全最佳实践。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！