 |
Хиляди MongoDB бази данни в Интернет се намират в открит вид |
 |
|
Група студенти от Университета на Саарланд, Германия, са се натъкнали на десетки хиляди бази данни, изградени на основата на MongoDB, достъпни в открит вид за злоумишленици, включително и бази на няколко известни компании, в които са открити лична и финансова информация за милиони хора.MongoDB е популярна крос-платформена база данни, използвана от множество известни уебсайтове и услуги, между които Craigslist, eBay, SourceForge, Viacom и др. За целите на проучването си студентите се възползвали от възможностите на Shodan, страховитата платформа за търсене на всякакъв тип машини, достъпни чрез Интернет. Търсенето им е осъществено посредством TCP протокола и порт 27017 (използван по подразбиране от MongoDB). "Разкрихме, че MongoDB бази данни, които играят ролята на back-end приложение за интернет сайтове за няколко хиляди комерсиални сървъра, се намират в открит вид в Интернет. Без да използваме някакви специални инструменти, и без да преодоляваме някакви защитни механизми на тези платформи, получихме достъп за четене и писане за хиляди бази данни, в това число конфиденциални клиентски данни и "живи" back-end приложения на онлайн магазини", отбелязват студентите.Сред разкритите данни са информация за клиентите на френски интернет доставчик, както и на мобилен оператор, съдържащ адреси и телефонни номера на милиони потребители. Освен това те са успели да разкрият базите данни на немски онлайн търговец, в които имало и финансова информация за сметките на клиентите на услугата.Всички засегнати от разкритията страни - въпросните компании, националните бюра за информационна сигурност и CERT екипите в техните страни, както и хората, поддържащи MongoDB, - са били информирани своевременно за откритието.Защо толкова много бази данни са били в открит вид в Интернет? Студентите отдават това на недостатъчната наличност на ръководства за необходимостта за активиране на контрол на достъпа до тези бази данни, автентикацията и интегрирането на механизми за криптиране при трансфера на данните. Освен това вградената в MongoDB конфигурация позволява единствено достъп на локално ниво, но тъй като много интернет услуги съхраняват тези бази на една машина, а услугите, които се възползват от тях на друга, локалният достъп по подразбиране просто бива премахван от поддържащите услугите, при което съвърът, грижещ се базите данни е открит за приемане на входящи връзки не единствено от доверената мрежа, а и отвъд нея - от Интернет.Може да се запознайте по-подробно с откритията на немските студенти тук (pdf). |
|
 |
|
Статистика |
|
|
| Прегледи | 147 |
| Коментари | 0 |
| Рейтинг | |
| Добавена на | 12 Фев 2015 |
| Източник | Kaldata |
|
|
|
 |
|
|
|
|
|
