Veeam沒有使用密碼，現在數以百萬計的電子郵件地址被洩露

所有組織，從您的銀行到位於您辦公室附近的熱狗，都需要謹慎處理客戶的數據，我們期望有些組織能夠比其他組織做得更好。我們知道通常，供應商越小，投資安全性的可能性就越小。然而，當談到專門處理信息的公司時，我們通常希望事情組織得很好。最近，備份和數據管理解決方案提供商Veeam表示，並非總是這樣。

又一次MongoDB事故

事實上，Veeam的某個人做了一個相當簡單（有些甚至會說是幼稚）的錯誤，忘了用密碼保護MongoDB數據庫，然後把它放在暴露在互聯網上的服務器上。如果您對MongoDB安全性一無所知，那麼您將會看到批評的當之無愧。

我們都犯了錯誤，但我們盡量不重複它們，不幸的是，錯誤配置MongoDB數據庫是一個過去曾多次重複的錯誤。有一個名為Shodan的搜索引擎，如果您知道要查找的內容，使用它來查找充滿敏感數據的數據庫就像執行簡單的Google查詢一樣簡單。如果沒有密碼，沒有什麼可以阻止你竊取數據。攻擊不安全的MongoDB數據庫比你想像的要容易，並且騙子已經做了多年。通常，在他們竊取數據後，他們甚至要求勒索贖金 。幸運的是，就Veeam而言，這並沒有發生。

這對Veeam來說可能更糟

值得慶幸的是，一位名叫Bob Diachenko的獨立安全研究員是第一個發現 Veeam暴露數據庫的人。他在與數據管理公司進行了一些鬥爭，但在他向TechCrunch記者Zack Whittaker尋求幫助之後，Veeam做了正確的事並將服務器拉下來 。總的來說，它在網上停留了一個多星期。

還必須說暴露的信息不那麼敏感。雖然相當多的記錄確實最終應該存在，但它們只包含名稱，電子郵件地址，以及在某些情況下，Veeam當前和潛在客戶及合作夥伴的IP。沒有密碼，信用卡詳細信息或其他更妥協的信息，這是一件好事。

Veeam的管理層對事件的報導方式不滿意

昨天發布了更多好消息，當時Veeam的首席執行官Peter McKay就違規行為發表聲明. 當Diachenko和Whittaker首次報導時，他們說200GB數據庫包含超過4.4億條記錄，但他們確實指出他們不知道有多少是重複的。事實證明，Veeam分析了它的記錄，而Peter McKay則非常渴望宣布獨特電子郵件地址的數量相當低 - 大約450萬。總的來說，麥凱對媒體報導這個問題的方式似乎並不高興，他並不害怕表現出來。

事實上，在供應商有時間提出自己的事件版本之前，一些新聞媒體對數據有點過於興奮，我們可以想像Veeam辦公室的情緒目前可能相當暗淡。然而，正如我們已經提到的那樣，已經犯了一些非常基本的錯誤，並且沒有真正證據表明任何嚴重後果的事實不應成為藉口。鑑於此，攻擊媒體似乎有點奇怪。

無論如何，我們希望能夠吸取教訓。