Mongo BD: mais vulnerabilidades à vista
Descobertas mais falhas no Mongo
Você usa Mongo BD?
Então fique atento às novas vulnerabilidades descobertas.
Kromtech Bob Diachenko tem feito várias descobertas de sites com dados expostos.
Nesta semana foi a vez de um site ligado a cupons.com, chamado Saver Spy. A instância do banco de dados revelava registros que incluíam detalhes pessoais como endereços de e-mail, nome completo, sexo e endereços físicos (CEP, estado, cidade de residência). O banco de dados também continha dados DNS e informações sobre a resposta do servidor. Para ser preciso, o conjunto de dados de 43,5 GB continha 10.999.535 endereços de e-mail, todos baseados no Yahoo.
Diachenko já hava detectado neste mês, duas semanas atrás, ele encontrou 445 milhões de registros pertencentes à Veeam, empresa de software de backup, recuperação de desastres e gerenciamento inteligente de dados.
Entretanto, nada disso é exatamente culpa do MongoDB. Como todo Banco de Dados, as pessoas que usam o produto devem configurá-lo corretamente para uso on-line.
Há uma razão pela qual o Mongo aparece muito nesse tipo de violação. Em algumas instâncias do MongoDB, a configuração padrão tem o banco de dados escutando em uma porta publicamente acessível assim que é instalada. Os administradores devem observar as configurações, mas muitos não o fazem, mantendo a instalação padrão. O resultado é um banco de dados conectado à Internet sem controle de acesso ou autenticação. Nem firewall com permissão por porta.
A partir da versão 2.6.0, o MongoDB não permitiu mais isso, quando começou a negar todas as conexões de rede ao banco de dados por padrão, a menos que explicitamente configurado pelo adminstrador.
Você usa MongoDB? Atenção nisso!
Veja mais detalhes abaixo:
Clique aqui para ver mais
