雲端MongoDB配置錯誤，意外讓OCR軟體ABBYY的20萬客戶掃描文件曝光

獨立安全研究人員Bob Diachenko於本周披露，專門開發光學辨識軟體的俄羅斯業者ABBYY於AWS上部署的MongoDB資料庫因配置錯誤，而讓客戶的20萬個文件曝光。

Diachenko說明，他先是發現AWS上有一個檔案大小達142GB的MongoDB資料庫沒有設定密碼而能公開存取，檢視資料庫內容之後判斷它屬於ABBYY。

他在資料庫中找到了ABBYY的客戶資料，內含企業用戶名稱與加密密碼，還發現逾20萬個看似由客戶存放的掃描文件，包括合約、保密協議、備忘錄、信件或其它內部文件，其中有部份可直接存取。

ABBYY在收到Diachenko的通知後就關閉了該資料庫的公開存取權限，並說這只是一次性的意外，也只影響一家客戶。ABBYY並未公布被波及的客戶名稱，不過ABBYY有許多知名客戶，諸如大眾汽車（Volkswagen）、PwC與麥當勞等。

MongoDB為全球最受歡迎的NoSQL資料庫，去年初曾有駭客鎖定網路上的公開MongoDB展開勒索攻擊，對MongoDB用戶而言無疑是一記警鐘，只是依然會出現配置錯誤的狀況。

在去年10月以24美元發行價登上那斯達克股市的MongoDB在周一（8/27）的收盤價為70.82美元，市值達35.86億美元。