|
Това лято един изследовател на компютърната сигурност се натъкна на почти 30 000 свободно достъпни инстанции на MongoDB инсталации. Посредством Shodan, Джон Мадърли решил да сканира за информация, свързана със MongoDB - система за организация на бази данни - когато направил откритието си, използвайки свободно достъпната търсачка за интернет-свързани устройства, Мадърли достигнал до лични данни, сред които имена, физически и имейл адреси, слабо защитени пароли и други данни, управлявани от MongoDB инсталации. Причината за достъпността на тези данни не се криела в поддържащите MongoDB, а в потребителите, администриращи ресурси на основата на софтуера. Ставало дума за слабост в MongoDB, позволяваща свободното и неоторизирано достигане на инфомацията, грешка, която е била изправена през април тази година, но е била в наличност цели три години. Така вече, MongoDB инсталациите само „слушат” localhost. и данните, пазени от платформата не са достъпни за достигане от Интернет. Но защо е тогава това увеличение в достъпността на тези данни, особено имайки предвид, че става дума за инсталации от версия 3.0 нагоре?Наскоро Мадърли решил да сканира чрез Shodan отново, за да види колко от потребителите все още са уязвими на проблема. Не само, че проблемът не бил оправен от много компании, но и откритите данни са се увеличили, достигайки обем от информация, равняваща се на внушителните 684.8TB.„Фактът, че MongoDB 3.0 е широко използван означава, че много хора променят конфигурациите, които идват по подразбиране към състояние, което ги прави уязвими на атаки и не ги защитават посредством защитни стени”, пише Мадърли. Той обяснява, че една от големите грешки на администриращите този тип ресурси, които преминават към по-нови версии на софтуера е че го правят, използвайки своите вече съществуващи и несигурни конфигурационни файлове.Отново - както в първия случай - по-голямата част от тези открити MongoDB инстанции се намират в облака, а не в дейта центрове, поддържани от DigitalOcean, Amazon.com и Alibaba Group и други. Сред данните присъстват отново имена, физически и имейл адреси, рожденни дати, частни съобщения и недобре обезопасени хешови стойности на пароли. „Не знам как по-друг начин да предупредя, че това не е проблем единствено на MongoDB: Redis, CouchDB, Cassandra и Riak са също толкова засегнати от подобен тип конфигурационни грешки”, споделя Мадърли.Само преди дни, отново посредством Shodan, друг изследовател по сигурността се натъкна на данни, изградени на основата на MongoDB, които могат да бъдат свободно достигнати - 13 милиона акаунта на потребители на MacKeeper, защитната програма със съмнителни качества за Mac компютри. От Kromtech, компанията, доставяща защитния софтуер му казали, че достъпността на базата данни от техните потребители била вследствие на грешна конфигурация на сървърните им инсталации, направена наскоро - нещо, което специалистът поставил под съмнение. |
|
