Kvůli špatně nakonfigurované databázi uniklo 763 milionů e-mailů

15. 3. 2019 v sekci Článek

V únoru upozornil bezpečnostní expert Bob Diachenko na volně přístupnou instanci dat na MongoDB, kde se se nacházely čtyři sbírky dat o celkové velikosti 150 GB a databáze přibližně 763 milionů unikátních e-mailových adres. Datová instance byla volně dostupná a data uvnitř byla uložena ve formátu prostého textu. Jde o údaje, podle kterých lze potenciálně identifikovat konkrétní osoby (PII – personally identifiable information).

Diachenko oznámil „objev“ na svém blogu, kde také uvedl, jaká data jsou k dispozici i to, kdo je vlastní; což je společnost Verifications.io, která se věnuje e-mailovému marketingu a ověřování e-mailových adres. Diachenko společnost informoval – ta reagovala na zjištění pohotově a okamžitě vypnula svoje služby i web.

Tento případ zaujme zejména objemem přístupných dat a jde o zatím poslední z významných datových „úniků“, které souvisejí s MongoDB. V lednovém blogu na Krebs on Security upozornil Brian Krebs na desítky tisíc databází MongoDB, které byly zasaženy ransomwarem. Právě tyto databáze, které nepoužívaly žádnou autentifikaci, jsou ideálním cílem pro ransomwarové útoky. Ve stejném měsíci byl úspěšný i zmíněný Diachenko, který zde našel databázi plnou osobních informací uchazečů o zaměstnání. Zkrátka nakonfigurovat si na MongoDB databázi otevřenou pro útočníky a zloděje není žádný problém.

MongoDB, je-li nakonfigurována správně, je jednou z nejspolehlivějších a nejbezpečnějších. Jenže často si například juniorští administrátoři s celým procesem a nastavováním nejsou schopni poradit a databázi sice úspěšně vytvoří, avšak nechají ji kompletně nezabezpečenou. A to se stává stále častěji – ostatně MongoDB má podle vyhledávání na Shodanu 67 864 instalací po celém světě (2/3 jsou v USA). MongoDB je populární také v cloudové verzi – podle Shodanu má Amazon 9 016 MongoDB instancí, Digital Ocean hostuje 4 966 instancí, Tencent 3 918 instancí, Azure 2 849 instancí a Google cloud 1 931 instancí. Velkým problémem v tomto ohledu je také to, že je vytvoření a zprovoznění databáze na MongoDB jedoduché a levné, což je splněným snem pro kyberzločince a noční můra pro majitele databází a jejich zákazníky.

Jak tedy zabezpečit MongoDB databáze? Ideální a nejjednodušší by bylo změnit výchozí nastavení, jenže MongoDB je open source projekt a zavádění takových změn je zkrátka pomalé. Další způsob je samozřejmě důkladné vzdělávání administrátorů a vývojářů, kteří MongoDB využívají. Ostatně společnosti jako KPMG, Telefonica a Eharmony na MongoDB spoléhají také a ukazují, že to jde i bezpečně a v souladu s legislativou.

Zdroj: Darkreading