当前位置:安全资讯 >> 全文

不安全的 MongoDB 数据库爆出大秘密:俄政府拥有访问在俄企业的后门账户

发布时间:2019-1-30 16:11 标签: MongoDB
分享到 0

一名荷兰研究员偶然发现了俄罗斯政府用于访问在俄罗斯运营的当地和外国企业服务器的后门账户。

这个后门账户是从数千个未经密码保护的 MongoDB 数据库中发现的。任何发现该账户的黑客均可借此从数千家在俄罗斯运行的企业中窃取敏感信息。

Victor Gevers 在访谈中表示,“我第一次是在一家俄罗斯乐透网站的用户表中发现这些凭证的。我必须深入理解克里姆林宫要求获得对处理金融交易系统的远程访问权限这件事。”

Gevers 表示,之后他在其它2000多个遭暴露的 MongoDB 数据上找到了同样的 admin@kremlin.ru 账户,而这些数据库属于在俄罗斯运营的当地和外国企业,如当地银行、金融机构、大型电信公司、甚至是俄罗斯迪士尼。

Gevers 甚至发现这个后门账户还存在于属于乌克兰内政部的不安全的 MongoDB 数据库中,该数据库内容是关于乌克兰总检察长办公室对腐败政客进行的 ERDR 调查。这件事非常奇怪,因为当时俄罗斯和乌克兰的冲突已经持续了至少两年的时间。

Gevers 当时担任 GDI 基金会主席,是一名世界顶级的白帽黑客。他的研究并不包含深挖企业日志来判断这个账户的作用,因此目前尚不清楚俄罗斯政府使用这个账户的目的是否仅和检索金融相关信息还是已经修改了数据。

Gevers 表示,“多年来,我们都在搜索开放的 MongoDB 数据库。当我们调查某个 MongoDB 实例时,我们通过将搜索面包屑如所有人的电子邮件限制到最小程度的方式尊重隐私问题。”他表示,“使用这个密码的所有系统已经可供任何人访问。MongoDB 数据库默认设置,因此未认证的任何人都具有 CRUD (创建、读取、更新和删除)访问权限。”

Gevers 指出,“我们花费了很长时间并已经做出了很多努力联系并警告克里姆林宫注意这个问题。但显然我们并未得到任何回应。”他表示“我们仍然从很多企业中找到了俄罗斯数据库,但在前几个月中它们已经消失不见了。”

目前尚不清楚克里姆林宫是否转而使用非描述性账户或为每家公司使用唯一的用户名和密码。

虽然在俄罗斯经营的公司必须遵守当地法律且为俄罗斯政府提供访问其部分财务数据的权限,但出于监督原因,它们也应该确保 MongoDB 数据库不会暴露给互联网上的任何人。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.zdnet.com/article/unsecured-mongodb-databases-expose-kremlins-backdoor-into-russian-businesses/
参与讨论,请先 登录 | 注册

用户评论