16 de febrero de 2015

MONGODB. Miles de sus bases de datos expuestas en Internet

Un fallo en la configuración, así como un error de la mano de los administradores que no configuraron correctamente los sistemas de inicio de sesión permitió acceder por completo a las bases de datos sin mayor dificultad.
Detalle del fallo de seguridad
  • MongoDB es un software de código abierto diseñado para poder crear y gestionar bases de datos en múltiples sistemas operativos fácilmente y de forma gratuita. Por defecto, la configuración de la base de datos de MongoDB es aceptar sólo las configuraciones locales, rechazando todo intento de conexión desde fuera de dicha red local. Debido a una incorrecta configuración de estas opciones de seguridad, estas bases de datos estaban aceptando las conexiones desde fuera de la red local a través del puerto 27017.
  • Detalles del 
  • A través de la plataforma Shodan, 3 estudiantes buscaron servidores con el puerto 27017 abierto (puerto utilizado por defecto por las bases de datos de MongoDB) y crearon una lista con las direcciones IP correspondientes a las máquinas detectadas que, poco después, comenzaron a analizar. Casi 40.000 servidores diferentes vulnerables que, aunque no todos están abiertos al tráfico externo ni con tienen bases de datos reales (algunos son servidores trampa para evitar que los piratas ataques los servidores reales), estos estudiantes han podido encontrar información realmente interesante en algunos de aquellos que no son trampa.
  • Los estudiantes afirman que aprovecharon la brecha de seguridad para echar un vistazo al contenido de las bases de datos para saber qué se estaba compartiendo de forma abierta en la red. Su sorpresa llegó cuando una de las bases de datos pertenecía a un proveedor de telecomunicaciones francés y exponía los datos de más de 8 millones de clientes libremente en la red, sin ninguna protección. Los nombres, correos electrónicos, direcciones e incluso información bancaria de estos usuarios pueden ser copiados e incluso modificados al tener libre acceso a esta bases de datos.
  • Otro caso similar encontrado es el de un minorista alemán que ha expuesto toda la información de pago de sus más de medio millón de clientes.
Reacción oficial
  • Los organismos de seguridad correspondientes ya han sido notificados y se pondrán en contacto con los responsables de dichos fallos de seguridad para que puedan proteger sus bases de datos de MongoDB y, sobre todo, la información de sus clientes lo antes posible para evitar que al igual que estos estudiantes han podido tener acceso a dichas bases de datos pueda tenerlo algún usuario no autorizado con fines maliciosos.
Fuente: Softpedia
Publicado por en
Etiquetas: , , ,