Veeam没有使用密码,现在数以百万计的电子邮件地址被泄露

Veeam MongoDB Exposure

所有组织,从您的银行到位于您办公室附近的热狗,都需要谨慎处理客户的数据,我们期望有些组织能够比其他组织做得更好。我们知道通常,供应商越小,投资安全性的可能性就越小。然而,当谈到专门处理信息的公司时,我们通常希望事情组织得很好。最近,备份和数据管理解决方案提供商Veeam表示,并非总是这样。

又一次MongoDB事故

事实上,Veeam的某个人做了一个相当简单(有些甚至会说是幼稚)的错误,忘了用密码保护MongoDB数据库,然后把它放在暴露在互联网上的服务器上。如果您对MongoDB安全性一无所知,那么您将会看到批评的当之无愧。

我们都犯了错误,但我们尽量不重复它们,不幸的是,错误配置MongoDB数据库是一个过去曾多次重复的错误。有一个名为Shodan的搜索引擎,如果您知道要查找的内容,使用它来查找充满敏感数据的数据库就像执行简单的Google查询一样简单。如果没有密码,没有什么可以阻止你窃取数据。攻击不安全的MongoDB数据库比你想象的要容易,并且骗子已经做了多年。通常,在他们窃取数据后,他们甚至要求勒索赎金 。幸运的是,就Veeam而言,这并没有发生。

这对Veeam来说可能更糟

值得庆幸的是,一位名叫Bob Diachenko的独立安全研究员是第一个发现 Veeam暴露数据库的人。他在与数据管理公司进行了一些斗争,但在他向TechCrunch记者Zack Whittaker寻求帮助之后,Veeam做了正确的事并将服务器拉下来 。总的来说,它在网上停留了一个多星期。

还必须说暴露的信息不那么敏感。虽然相当多的记录确实最终应该存在,但它们只包含名称,电子邮件地址,以及在某些情况下,Veeam当前和潜在客户及合作伙伴的IP。没有密码,信用卡详细信息或其他更妥协的信息,这是一件好事。

Veeam的管理层对事件的报道方式不满意

昨天发布更多好消息,当时Veeam的首席执行官Peter McKay就违规行为发表声明. 当Diachenko和Whittaker首次报道时,他们说200GB数据库包含超过4.4亿条记录,但他们确实指出他们不知道有多少是重复的。事实证明,Veeam分析了它的记录,而Peter McKay则非常渴望宣布独特电子邮件地址的数量相当低 - 大约450万。总的来说,麦凯对媒体报道这个问题的方式似乎并不高兴,他并不害怕表现出来。

事实上,在供应商有时间提出自己的事件版本之前,一些新闻媒体对数据有点过于兴奋,我们可以想象Veeam办公室的情绪目前可能相当暗淡。然而,正如我们已经提到的那样,已经犯了一些非常基本的错误,并且没有真正证据表明任何严重后果的事实不应成为借口。鉴于此,攻击媒体似乎有点奇怪。

无论如何,我们希望能够吸取教训。

April 30, 2019
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。