Tenga en cuenta que en el caso de MongoDB, la falta de autorización en el shell es por diseño. Es posible conectar sin autenticar a cualquier shell de MongoDB. Sin embargo, está limitado a solo ver el número de versión de mongo y si el nodo al que está conectado es primario o secundario. A menos que se autentique como una cuenta de usuario con privilegios para una base de datos determinada, no podrá realizar consultas ni realizar ninguna operación. El acceso a un shell mongo no es evidencia suficiente de que la base de datos esté "mal configurada".
Por supuesto, uno puede argumentar si se trata de un defecto de diseño de MongoDB, y ciertamente puede argumentar que todas las instancias de Mongo deberían incluir en la lista blanca las direcciones IP que se conectan a ellas, independientemente del nivel de autenticación necesario para realizar operaciones en una instancia determinada.