В Сети опубликованы десятки тысяч баз MongoDB

Трое студентов Саарландского университета, Германия, обнаружили 39890 баз MongoDB, опубликованных в сети Интернет. Некоторые из них принадлежат крупным компаниям и содержат конфиденциальную информацию миллионов людей.

MongoDB – документно-ориентированная система управления базами данных (СУБД) с открытым исходным кодом, не требующая описания схемы таблиц. Ее используют компании Craigslist, eBay, SourceForge, Viacom и многие другие.

Для поиска Дженс Хейенс (Jens Heyens), Кай Гришэйк (Kai Greshake) и Эрик Петрика (Eric Petryka) использовали известную поисковую систему Shodan, которая сканирует порты и индексирует информацию, недоступную через другие поисковики. В конфигурации MongoDB по умолчанию указан открытый порт TCP 27017 и, как отмечают студенты, для того чтобы получить доступ к базам данных, злоумышленнику достаточно просто провести сканирование портов в интернете.

«Без каких-либо специальных инструментов и без обхода методов защиты мы смогли бы прочитать и записать информацию в базы данных», - указали студенты в своем отчете.

По мнению специалистов, такая ситуация могла возникнуть по двум причинам. Во-первых, MongoDB сконструирована для работы на одной физической машине или экземплярах виртуальных машин. Во-вторых, формулировка документации и директив для настройки интернет-доступа на серверах MongoDB могла быть недостаточно четкой в случае необходимости активации управления доступом, аутентификации и механизмов шифрования данных.

«Если менее опытный администратор установит web-сервер баз данных MongoDB, следуя данным директивам, вполне вероятно, что в процессе он проигнорирует важность активации необходимых защитных механизмов, что приведет к полной открытости и уязвимости баз данных. Таким образом, любой сможет получить к ним доступ и, что важнее всего, проводить с ними различные манипуляции», - предупредили специалисты.

С полным отчетом можно ознакомиться  здесь .