Η MongoDB είναι μια εμπορικά αξιόπιστη βάση δεδομένων ανοικτού κώδικα, που χρησιμοποιείται από εταιρείες όλων των κλάδων για μια μεγάλη ποικιλία εφαρμογών.
Οι Γερμανοί ερευνητές δήλωσαν ότι κατάφεραν με ευκολία να λάβουν “read and write access” στις μη ασφαλείς βάσεις δεδομένων της MongoDB, χωρίς τη χρήση ειδικών εργαλείων hacking.
Συνολικά εντοπίστηκαν 39.890 ευπαθείς βάσεις δεδομένων, συμπεριλαμβανομένης μιας βάσης δεδομένων που ανήκει σε γνωστή γαλλική εταιρεία τηλεπικοινωνιών και περιέχει 8 εκατομμύρια αριθμούς τηλεφώνων και διευθύνσεων πελατών. Το όνομα της εταιρείας δεν έχει γνωστοποιηθεί.
“Ο καθένας θα μπορούσε να ανακτήσει, ακόμα και να αλλάξει, εκατομμύρια εγγραφές δεδομένων πελατών, συμπεριλαμβανομένων ονομάτων, διευθύνσεων e-mail και αριθμών πιστωτικών καρτών,” αναφέρει το πανεπιστήμιο του Saarland.Η αξιοποίηση του κενού ασφάλειας είναι απίστευτα εύκολη, καθώς το μόνο που χρειάζεται κάποιος επιτιθέμενος είναι να τρέξει ένα port scan για τη θύρα TCP 27017 στον υπολογιστή του θύματος, ενώ η εύρεση όλων των πιθανώς ευάλωτων servers στο Internet θα μπορούσε να επιτευχθεί μέσα σε τέσσερις ώρες, μέσω της σάρωσης του διαδικτύου χρησιμοποιώντας ένα ταχύτερο TCP Port Scanner που ονομάζεται “masscan”.
Οι Γερμανοί ερευνητές ανέφεραν το θέμα στην MongoDB, καθώς και στην Γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων (CNIL) και την Ομοσπονδιακή Υπηρεσία για την Ασφάλεια των Πληροφοριών, ώστε οι επηρεαζόμενοι ιδιοκτήτες βάσεων δεδoμένων να ενημερωθούν για την ευπάθεια.
πηγη
