Chris Vickery นักวิจัยทางด้านความปลอดภัยได้ออกมาเปิดเผยถึงช่องโหว่บนเว็บไซต์ Microsoft Career ในส่วนที่เป็น Mobile Site ว่ามีการตั้งค่าของ MongoDB ที่ไม่ปลอดภัยเพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลที่บันทึกอยู่ภายใน MongoDB ได้โดยไม่ต้องมีการยืนยันตัวตนแต่อย่างใด อีกทั้งยังสามารถเขียนข้อมูลลงไปเพื่อทำการแก้ไขได้อีกด้วย ส่งผลให้การส่งข้อมูล HTML ที่สร้างขึ้นมาเพื่อทำการโจมตีโดยเฉพาะ ประสบความสำเร็จได้ และนำไปสู่การโจมตีแบบ Watering Hole ต่อไป
ทาง Chris Vickery ได้ทำการแจ้งไปยังทีมงาน Punchkick ผู้รับผิดชอบงานดูแลระบบนี้ให้กับ Microsoft เพื่อทำการแก้ไขช่องโหว่ไปเรียบร้อยแล้ว และ Punchkick เองก็ไม่ได้ดูแลเพียงเว็บนี้เว็บเดียวเท่านั้น แต่มีเว็บอื่นๆ อีกจำนวนมากด้วย ในขณะเดียวกันงานวิจัยอื่นๆ ก็ชี้ว่าไม่ได้มีแต่ MongoDB เท่านั้นที่มีปัญหาเรื่องการตั้งค่าใช้งานอย่างไม่ปลอดภัย แต่ Redis, CouchDB, Cassandra และ Riak เองก็เช่นกัน
ที่มา : NetworkWorld