Mongo BD: mais vulnerabilidades à vista

Descobertas mais falhas no Mongo

Mongo BD: mais vulnerabilidades à vista

Você usa Mongo BD?

Então fique atento às novas vulnerabilidades descobertas.

 Kromtech Bob Diachenko tem feito várias descobertas de sites com dados expostos.

Nesta semana foi a vez de um site ligado a cupons.com, chamado Saver Spy.  A instância do banco de dados revelava registros que incluíam detalhes pessoais como endereços de e-mail, nome completo, sexo e endereços físicos (CEP, estado, cidade de residência). O banco de dados também continha dados DNS e informações sobre a resposta do servidor.  Para ser preciso, o conjunto de dados de 43,5 GB continha 10.999.535 endereços de e-mail, todos baseados no Yahoo.

Diachenko já hava detectado neste mês, duas semanas atrás, ele encontrou 445 milhões de registros pertencentes à Veeam, empresa de software de backup, recuperação de desastres e gerenciamento inteligente de dados.

Entretanto, nada disso é exatamente culpa do MongoDB.  Como todo Banco de Dados, as pessoas que usam o produto devem configurá-lo corretamente para uso on-line. 

Há uma razão pela qual o Mongo aparece muito nesse tipo de violação.  Em algumas instâncias do MongoDB, a configuração padrão tem o banco de dados escutando em uma porta publicamente acessível assim que é instalada. Os administradores devem observar as configurações, mas muitos não o fazem, mantendo a instalação padrão. O resultado é um banco de dados conectado à Internet sem controle de acesso ou autenticação.  Nem firewall com permissão por porta.

A partir da versão 2.6.0, o MongoDB não permitiu mais isso, quando começou a negar todas as conexões de rede ao banco de dados por padrão, a menos que explicitamente configurado pelo adminstrador.

Você usa MongoDB?  Atenção nisso!

Veja mais detalhes abaixo:

 


Clique aqui para ver mais