Трое студентов из Центра ИТ-безопасности, конфиденциальности и отчётности (CISPA) Саарского университета обнаружили 39890 баз данных MongoDB, доступных через интернет. Некоторые принадлежат крупным компаниям и содержат персональную и финансовую информацию на миллионы людей.
MongoDB — популярная кросс-платформенная документо-ориентированная СУБД с открытым исходным кодом. Её используют организации Craigslist, eBay, SourceForge, Viacom и многие другие.
Как можно было догадаться, студенты использовали для поиска известный поисковик Shodan, который сканирует порты и индексирует информацию, недоступную через другие поисковые системы. В частности, искали серверы с открытым портом TCP 27017, который указан по умолчанию в конфигурации MongoDB.
curl $SHODANURL |grep -i class=\"ip\" |cut -d '/' -f 3 \
|cut -d '"' -f 1|uniq >db.ip«Без каких-либо специальных инструментов и не обходя никаких защитных механизмов, мы могли читать и записывать информацию в эти базы», — пишут авторы.
Самые крупные находки — БД одного из французских интернет-провайдеров и оператора сотовой связи с адресами и телефонами миллионов клиентов, а также база немецкого интернет-магазина, которая вдобавок содержит платёжную информацию. А вообще, местоположение жертв и размеры их потенциальных потерь показаны на карте вверху (кликабельна).
Эти компании, отделы информационной безопасности, центры CERT и разработчики MongoDB уведомлены об уязвимости.
Более подробные результаты исследования с рекомендациями по защите см. в опубликованном отчёте (pdf).
