Трое студентов из Центра ИТ-безопасности, конфиденциальности и отчётности (CISPA) Саарского университета обнаружили 39890 баз данных MongoDB, доступных через интернет. Некоторые принадлежат крупным компаниям и содержат персональную и финансовую информацию на миллионы людей.

MongoDB — популярная кросс-платформенная документо-ориентированная СУБД с открытым исходным кодом. Её используют организации Craigslist, eBay, SourceForge, Viacom и многие другие.

Как можно было догадаться, студенты использовали для поиска известный поисковик Shodan, который сканирует порты и индексирует информацию, недоступную через другие поисковые системы. В частности, искали серверы с открытым портом TCP 27017, который указан по умолчанию в конфигурации MongoDB.

curl $SHODANURL |grep -i class=\"ip\" |cut -d '/' -f 3 \
|cut -d '"' -f 1|uniq >db.ip

«Без каких-либо специальных инструментов и не обходя никаких защитных механизмов, мы могли читать и записывать информацию в эти базы», — пишут авторы.

Самые крупные находки — БД одного из французских интернет-провайдеров и оператора сотовой связи с адресами и телефонами миллионов клиентов, а также база немецкого интернет-магазина, которая вдобавок содержит платёжную информацию. А вообще, местоположение жертв и размеры их потенциальных потерь показаны на карте вверху (кликабельна).

Эти компании, отделы информационной безопасности, центры CERT и разработчики MongoDB уведомлены об уязвимости.

Более подробные результаты исследования с рекомендациями по защите см. в опубликованном отчёте (pdf).



8 комментариев

  1. 12.02.2015 at 01:15

    а пруфы ?:)
    нам бы очень хотелось ознакомиться )))

  2. 12.02.2015 at 06:00

    «Эти компании, отделы информационной безопасности, центры CERT и разработчики MongoDB уведомлены об уязвимости.»

    А смысл тогда статью писать было?

  3. 12.02.2015 at 08:45

    Обновление не скоро выйдет, а после того как выйдет его не скоро «накатят»

  4. 12.02.2015 at 15:58

    Мне интересно чем генерируют такую карту ? см рисунок в статье.
    Порой очень наглядно.

Оставить мнение