Redis里居然藏着个人信息，安全问题不得不注意了

（信息来源于“FreeBuf网络安全行业门户”网站2023年一篇关于Redis安全风险的分析文章，以及“嘶吼专业版”等安全社区对类似案例的讨论）

前段时间，有个事儿在技术圈里悄悄传开了，虽然不是那种上社会新闻头条的大事件，但也足够让用Redis的程序员们心里咯噔一下，简单说，就是有人发现，在一些部署不当的Redis数据库里，竟然能直接看到用户的明文手机号、身份证号，甚至家庭住址，这可不是黑客费尽心思攻破层层防线偷走的，而是这些敏感信息就那么大剌剌地放在那里，仿佛一个没上锁的日记本,谁路过都能翻看。

你可能要问了，Redis不是个用来存缓存数据、加快网站速度的工具吗？怎么就成了个人信息的“展览馆”了？问题就出在这个“快”字上，Redis因为速度极快，用法简单，很多开发者为了方便，会顺手把一些临时数据，比如用户登录后的会话信息、短信验证码，或者一些临时的业务数据存进去，心想反正就是临时放一下，很快就删掉了,能出啥问题？

但麻烦往往就来自这种“图省事”的想法，根据FreeBuf文章里的分析，第一个也是最要命的“坑”很多开发者在安装好Redis后，根本就没给它设置密码，这就好比你家大门天天敞开着，邻居、快递员、甚至陌生人都能直接走进来，Redis默认配置就是无密码、直接绑定在能被网络访问的地址上，如果服务器本身的安全设置再松懈点，那么任何一个能连接到这台服务器的人，都不需要任何权限验证，就能对Redis里的数据为所欲为——想看就看，想改就改,想删就删。

第二个“坑”在于，开发者有时候会低估了数据的敏感性，为了在用户下次访问时快速显示，他们把用户的一些个人信息，像昵称、头像链接、最近浏览记录等打包存进Redis，这本身可能风险还不算最高，但可怕的是，在复杂的业务逻辑中，可能会一不小心把更敏感的数据，比如完整的用户资料对象（内含手机、邮箱等），也错误地持久化到了Redis里，并且忘记了设置过期时间，这些数据就可能一直在Redis里“睡大觉”,直到被人发现。

嘶吼专业版在讨论相关安全案例时提到，攻击者利用这种无防护的Redis，手段可以非常直接，他们甚至不需要高深的黑客技术，直接用Redis客户端工具连上目标的IP地址和端口，就能执行命令，曾经有一种攻击方式，就是入侵者直接连接上未授权的Redis服务器，然后恶作剧般地留下一句话：“大哥，你数据库没密码，不安全，快关了吧！” 这还算是有“侠义心肠”的，更恶劣的，会直接清空你的数据作为勒索，或者更隐蔽的，偷偷把Redis服务器变成他们挖矿的“肉鸡”。

而最让人担忧的，正是个人信息因此泄露的风险，如果这台存着用户身份证号的Redis服务器恰好暴露在公网上，又没密码，那简直就是在互联网的“黑暗森林”里举着火把大喊“我在这里”，一些自动扫描网络漏洞的机器人，会7x24小时不间断地扫描全网所有IP地址，专门寻找这些敞开着大门的Redis服务，一旦被它们扫到，里面的数据瞬间就会被拖走，流入地下数据黑市，用户根本无从知晓，自己的隐私是在哪个环节、以这样一种“低级”的方式被泄露的。

说“Redis里藏着个人信息”，很多时候指的不是Redis这个工具有原罪，而是使用它的人安全意识不足，埋下了地雷，这给所有开发和运维人员提了个醒：技术工具本身是中性的，但如何使用它，却直接关系到用户的安全和信任，不能再把Redis当成一个“无害”的临时记事本了，任何可能触及用户数据的地方，都必须绷紧安全这根弦，这不仅仅是技术问题,更是一种责任。