MONGODB. Miles de sus bases de datos expuestas en Internet
Un fallo en la configuración, así como un error de la
mano de los administradores que no configuraron correctamente los sistemas de
inicio de sesión permitió acceder por completo a las bases de datos sin
mayor dificultad.
Detalle del fallo de seguridad
- MongoDB es un software de código abierto diseñado para poder
crear y gestionar bases de datos en múltiples sistemas operativos fácilmente y
de forma gratuita. Por defecto, la configuración de la base de datos de MongoDB
es aceptar sólo las configuraciones locales, rechazando todo intento de
conexión desde fuera de dicha red local. Debido a una incorrecta configuración
de estas opciones de seguridad, estas bases de datos estaban aceptando las
conexiones desde fuera de la red local a través del puerto 27017.
- Detalles del
- A través de la plataforma Shodan, 3 estudiantes buscaron
servidores con el puerto 27017 abierto (puerto utilizado por defecto por las
bases de datos de MongoDB) y crearon una lista con las direcciones IP
correspondientes a las máquinas detectadas que, poco después, comenzaron a analizar.
Casi 40.000 servidores diferentes vulnerables que, aunque no todos están
abiertos al tráfico externo ni con tienen bases de datos reales (algunos son
servidores trampa para evitar que los piratas ataques los servidores reales),
estos estudiantes han podido encontrar información realmente interesante en
algunos de aquellos que no son trampa.
- Los estudiantes afirman que aprovecharon la brecha de
seguridad para echar un vistazo al contenido de las bases de datos para saber
qué se estaba compartiendo de forma abierta en la red. Su sorpresa llegó cuando
una de las bases de datos pertenecía a un proveedor de telecomunicaciones
francés y exponía los datos de más de 8 millones de clientes libremente en la
red, sin ninguna protección. Los nombres, correos electrónicos, direcciones e
incluso información bancaria de estos usuarios pueden ser copiados e incluso
modificados al tener libre acceso a esta bases de datos.
- Otro caso similar encontrado es el de un minorista alemán que
ha expuesto toda la información de pago de sus más de medio millón de clientes.
Reacción oficial
- Los organismos de seguridad correspondientes ya han sido
notificados y se pondrán en contacto con los responsables de dichos fallos de
seguridad para que puedan proteger sus bases de datos de MongoDB y, sobre todo,
la información de sus clientes lo antes posible para evitar que al igual que
estos estudiantes han podido tener acceso a dichas bases de datos pueda tenerlo
algún usuario no autorizado con fines maliciosos.
Fuente: Softpedia