Некорректная настройка серверов MongoDB повышает риск утечки информации

В ближайшем времени не стоит ожидать прекращения утечек персональных данных, вызванных некорректной настройкой экземпляров MongoDB, утверждает руководитель отдела стратегического развития MongoDB Келли Стирман (Kelly Stirman). Ежедневно с сайта компании осуществляется порядка 30 тыс. загрузок MongoDB, однако только некоторые операторы баз данных обеспечивают их надежной защитой.

MongoDB - популярная документо-ориентированная СУБД, используемая корпорацией eBay, изданием The New York Times и другими компаниями. За последнее время не раз появлялась информация о крупных утечках данных, связанных с этой системой. К примеру, в конце апреля нынешнего года в Сеть утекли данные более 93 млн мексиканских избирателей, а в декабре прошлого года в свободном доступе была обнаружена база данных с персональной информацией 191 млн граждан США.

Как считают эксперты, в основном утечки происходят по вине самих операторов баз данных, не уделяющих должного внимания безопасности серверов. В прошлом году группа исследователей обнаружила в Сети порядка 40 тыс. серверов MongoDB, доступных для внешних запросов из-за проблем с настройкой аутентифицированного доступа. По данным создателя поискового движка Shodan Джона Мазерли (John Matherly), в общей сложности объем хранимой на них информации составляет порядка 595,2 ТБ.

«Для обеспечения защиты достаточно просто создать имя пользователя и пароль», - говорит Стирман в интервью изданию The Register. По его словам, все публично доступные серверы работают на базе устаревших версий MongoDB, которым уже более двух лет. Более того, некоторые компании могут сознательно отключать механизмы безопасности для большего удобства работы с базами данных.

По мнению эксперта компании High-Tech Bridge Ильи Колошенко, нельзя реализовать защиту только одного сегмента сети и игнорировать остальные ее части. Меры обеспечения информационной безопасности должны включать анализ всех угроз, уязвимостей и векторов атак. Одним из наиболее дешевых и надежных способов несанкционированного проникновения в корпоративную сеть являются атаки на web-приложения и целевой фишинг. При построении возможных векторов атак эксперт рекомендует привлекать как можно больше внешних консультантов, включая сотрудников правоохранительных органов и представителей индустрии, пострадавших от утечек данных.