Мир: В Сети опубликованы десятки тысяч баз MongoDB

0

Трое студентов Саарландского университета, Германия, обнаружили 39890 тыс. баз MongoDB, опубликованных в сети Интернет. Некоторые из них принадлежат крупным компаниям и содержат конфиденциальную информацию миллионов людей. MongoDB – документно-ориентированная система управления базами данных (СУБД) с открытым исходным кодом, не требующая описания схемы таблиц. Ее используют компании Craigslist, eBay, SourceForge, Viacom и многие другие.


Для поиска Дженс Хейенс (Jens Heyens), Кай Гришэйк (Kai Greshake) и Эрик Петрика (Eric Petryka) использовали известную поисковую систему Shodan, которая сканирует порты и индексирует информацию, недоступную через другие поисковики. В конфигурации MongoDB по умолчанию указан открытый порт TCP 27017 и, как отмечают студенты, для того чтобы получить доступ к базам данных, злоумышленнику достаточно просто провести сканирование портов в интернете. “Без каких-либо специальных инструментов и без обхода методов защиты мы смогли бы прочитать и записать информацию в базы данных”, – указали студенты в своем отчете.

По мнению специалистов, такая ситуация могла возникнуть по двум причинам. Во-первых, MongoDB сконструирована для работы на одной физической машине или экземплярах виртуальных машин. Во-вторых, формулировка документации и директив для настройки интернет-доступа на серверах MongoDB могла быть недостаточно четкой в случае необходимости активации управления доступом, аутентификации и механизмов шифрования данных.

“Если менее опытный администратор установит web-сервер MongoDB, следуя данным директивам, вполне вероятно, что в процессе он проигнорирует важность активации необходимых защитных механизмов, что приведет к полной открытости и уязвимости баз данных. Таким образом, любой сможет получить к ним доступ и, что важнее всего, проводить с ними различные манипуляции”, – предупредили специалисты. (MongoDB/NovostIT)