Veeam没有使用密码,现在数以百万计的电子邮件地址被泄露
所有组织,从您的银行到位于您办公室附近的热狗,都需要谨慎处理客户的数据,我们期望有些组织能够比其他组织做得更好。我们知道通常,供应商越小,投资安全性的可能性就越小。然而,当谈到专门处理信息的公司时,我们通常希望事情组织得很好。最近,备份和数据管理解决方案提供商Veeam表示,并非总是这样。
Table of Contents
又一次MongoDB事故
事实上,Veeam的某个人做了一个相当简单(有些甚至会说是幼稚)的错误,忘了用密码保护MongoDB数据库,然后把它放在暴露在互联网上的服务器上。如果您对MongoDB安全性一无所知,那么您将会看到批评的当之无愧。
我们都犯了错误,但我们尽量不重复它们,不幸的是,错误配置MongoDB数据库是一个过去曾多次重复的错误。有一个名为Shodan的搜索引擎,如果您知道要查找的内容,使用它来查找充满敏感数据的数据库就像执行简单的Google查询一样简单。如果没有密码,没有什么可以阻止你窃取数据。攻击不安全的MongoDB数据库比你想象的要容易,并且骗子已经做了多年。通常,在他们窃取数据后,他们甚至要求勒索赎金 。幸运的是,就Veeam而言,这并没有发生。
这对Veeam来说可能更糟
值得庆幸的是,一位名叫Bob Diachenko的独立安全研究员是第一个发现 Veeam暴露数据库的人。他在与数据管理公司进行了一些斗争,但在他向TechCrunch记者Zack Whittaker寻求帮助之后,Veeam做了正确的事并将服务器拉下来 。总的来说,它在网上停留了一个多星期。
还必须说暴露的信息不那么敏感。虽然相当多的记录确实最终应该存在,但它们只包含名称,电子邮件地址,以及在某些情况下,Veeam当前和潜在客户及合作伙伴的IP。没有密码,信用卡详细信息或其他更妥协的信息,这是一件好事。
Veeam的管理层对事件的报道方式不满意
昨天发布了更多好消息,当时Veeam的首席执行官Peter McKay就违规行为发表声明. 当Diachenko和Whittaker首次报道时,他们说200GB数据库包含超过4.4亿条记录,但他们确实指出他们不知道有多少是重复的。事实证明,Veeam分析了它的记录,而Peter McKay则非常渴望宣布独特电子邮件地址的数量相当低 - 大约450万。总的来说,麦凯对媒体报道这个问题的方式似乎并不高兴,他并不害怕表现出来。
事实上,在供应商有时间提出自己的事件版本之前,一些新闻媒体对数据有点过于兴奋,我们可以想象Veeam办公室的情绪目前可能相当暗淡。然而,正如我们已经提到的那样,已经犯了一些非常基本的错误,并且没有真正证据表明任何严重后果的事实不应成为借口。鉴于此,攻击媒体似乎有点奇怪。
无论如何,我们希望能够吸取教训。