MongoDB a souffert de lacunes de sécurité pendant plusieurs années au cours desquelles les bases de données MongoDB ont été exposées sur Internet et ne nécessitaient pas d’informations d’identification par défaut. Pour rappel, en une semaine, près de 30 000 bases MongoDB ont été ainsi prises en otage sur 100 000 qui ont été répertoriées par des chercheurs comme étant vulnérables.
Cependant, depuis lors, Andreas Nilsson, directeur de produit de sécurité chez MongoDB a publié dans un billet ce que doivent faire les administrateurs pour éviter ce type d’attaque : « Ces attaques peuvent être évitées grâce aux nombreuses protections de sécurité intégrées à MongoDB. Vous devez utiliser ces fonctionnalités correctement et notre documentation de sécurité vous aidera à le faire ».
Toutefois, les chercheurs continuent à découvrir des données utilisateur exposées dans des instances MongoDB à la merci des cybercriminels. La dernière découverte en date a été faite par Bob Diachenko, chercheur indépendant en cybersécurité le lundi dernier. La base de données non sécurisée exposait une énorme quantité de données utilisateur. « Le lundi 17 septembre au matin, j’ai découvert une énorme base de données clients contenant 11 millions d’enregistrements contenant des informations personnelles telles que l’email, le nom complet, le sexe, l’adresse physique (code postal, état, ville de résidence). », a déclaré le chercheur.
Les données étaient disponibles sur Internet à partir d’une instance de MongoDB configurée sur l’infrastructure d’hébergement de Grupo-SMS USA, LLC, et pouvaient être consultées par n’importe qui à tout moment. Selon le chercheur, les données ont été indexées pour la première foi le 13 septembre dernier, mais elles pourraient avoir été exposées depuis bien avant.
Au total, 43,5 Go de données contenant 10 999 535 adresses e-mail basées sur yahoo ont été exposées. Outre les informations personnelles des clients, la base de données comprenait également des détails sur le statut du courrier électronique (envoyé avec succès ou non), indiquant si le courrier électronique avait été transmis et la réponse du serveur.
Cependant, ni le nom de la base de données ni aucune information quelle contenait n’a permis au chercheur d’identifier son propriétaire, aucun courrier électronique, journal système ou information d’hôte de l’administrateur n’ayant été trouvé.
Cependant, dans la description des listes, un message électronique (« Yahoo_090618_ SaverSpy ») a fait penser le chercheur au site web SaverSpy, un site Web de Coupons.com, lui-même exploité par Quotient Technology. SaveSpy.com fournit des coupons de réduction imprimables et numériques pour une large gamme de produits. Mais, une tentative de prise de contact avec le groupe par courrier électronique de notification est restée sans suite : « J’ai essayé de contacter les deux organisations à propos de la violation de données potentielle mais je n’ai reçu aucune réponse au moment de la publication. Cependant, la base de données a été mise hors ligne peu de temps après l’envoi du courrier électronique de notification et désormais inaccessible. » Les données ne sont donc plus exposées même si le propriétaire de la base de données reste introuvable.
Bob Diachenko a tout de même découvert que la base de données a été « compromise » et une note « Readme » qui contenait une demande de rançon. Selon la demande, il était exigé 0,4 BTC soit environ 2 545,3 USD pour récupérer ses données. Cependant, le chercheur a déclaré qu’au moment où il découvrait la base de données sans protection, toutes les données étaient intactes.
Il a donc conclu à un scénario de script défaillant utilisé par les escrocs mais aussi à la chance pour les propriétaires de la base de données qui ont pu conserver toutes leurs données. Le chercheur n’est pas à sa première découverte d’instances de base de MongoDB laissées sans protection. Au cours de ce même mois, il aurait découvert une énorme quantité de données appartenant à Veeam, une société de gestion intelligente des données.
Source : Bob Diachenko