安全研究人員為這次“非常嚴重的”隱私問題敲響了警鐘。

網上至少有3.5萬個可以公開訪問的不安全MongoDB 數據庫，該數字似乎正越變越大。對應的684.8 TB資料存在被盜風險。

近日，物聯網搜索引擎 Shodan 的創造者，約翰·馬瑟里(John Materly)實施了一次掃描，得到了上述結果。

馬瑟里早在七月份就對該問題就發出了警告，當時，他發現了近3萬個未驗證的MongoDB實例。在安全研究人員克里斯·維克里(Chris Vickery)近期發現這些數據庫泄露的信息與 2500 萬用戶賬戶和多種應用和服務相關時，馬瑟里決定重新研究一下該問題。

馬瑟里的最新研究結果表明，比起七月份，不安全的MongoDB 實例已經增長了 5000 個，考慮到新版本 MongoDB 并沒有給出往往不安全的默認配置，該結果十分令人震驚。

MongoDB 3.0 及其后續版本只會監聽localhost ，因此將不會接受來自互聯網的遠程連接。然而，馬瑟里發現， 3.0.7 版本在所有存在問題的數據庫中占比最高， 3.0.6 版本也在前五名之列，兩者分別有 3010 和 1256個實例。

馬瑟里在本周二發表的一篇博文中寫道：“MongoDB 3.0 成為了代表，這意味著很多人改變了 MongoDB 的默認設置，卻將它們替換成了 更不安全的版本，而且沒有啟用任何保護數據庫的防火墻。有可能的情況是，用戶升級了實例，但沿用了他們現有的、不安全的配置文件。”

托管這些不安全的 MongoDB 實例最多的云計算平臺前三名是 DigitalOcean 、亞馬遜和阿里巴巴。

維克里的研究結果表明，泄露的數據包括姓名、電子郵件地址、出生日期、郵寄地址、私人信息、不安全的密碼哈希值。如果這些結果可以推廣到其它暴露的數據庫，那么這個問題將非常嚴重，而且不局限于 MongoDB 。

馬瑟里說：“我已經一遍又一遍地講過，這個問題不是 MongoDB 獨有的： Redis 、 CouchDB 、 Cassandra 、 Riak 都會受到錯誤配置的影響。”