为开源Mongo数据库提供托管和支持的MongoHQ公司透露，黑客或许已经在本周较早些时候入侵了旗下若干客户数据库。

MongoHQ创始人Jason McCay写道，本周一有人用一个被盗的个人账户访问了内部支持应用。

这个支持应用包含MongoDB客户实例的连接信息，以及一些数据库，邮件地址和用户凭证的列表，这些列表用文件加密工具bcrypt加密过。审计表明入侵者或许已通过这款支持应用侵入若干数据库。

“对这次破坏波及的范围，我们已经做了彻底检查，而且我们直接联系了所有受到影响的客户，”McCay写道。“我们会继续评估审计日志，并在第三方专家的协同下做进一步调查。”

公司取消了一些凭证，如为那些用AWS做备份的客户保存的IAM密钥。MongoHQ已经通知可能会受影响的AWS账户，AWS现在要为那些需要新凭证的机构提供专属支持服务。

MongoHQ，在加州和阿拉巴马州都设有办公室，提供的服务可让程序员们创建并管理NoSQL Mongo数据库。

McCay写道，针对这次数据泄露，MongoHQ已经重置了员工账户的登录凭证，包括邮件，网络设备和内部应用。在启用双因素验证之前，面向员工的支持应用将一直被禁用。公司强制部署了通向这些应用的VPN链接，而且公司会对员工的访问许可进行审查。

与此同时，McCay称，MongoHQ正在修改自己的系统，要把数据的加密和解密提升到应用级别，这样才能防止同类入侵可能带来的破坏。公司还雇请了一家安全顾问公司对应用堆栈做渗透测试。

“根据他们的推荐，我们可以强化自己的应用，从而提供更多安全层级，”他写道。

(责任编辑：安博涛)