MongoDB : Plus de 40 000 BDD accessibles publiquement via le web

Actualités févr. 12, 2015

Des étudiants d’une université ont effectué des études vis-à-vis du moteur de bases de données « MongoBD » et ont fait une surprenante découverte : Plus de 40 000 bases de données sont accessibles simplement et « librement » via l’Internet !!

Without any special tools and without circumventing any security measures, we would have been able to get read and write access to thousands of databases, including, e.g., sensitive customer data or live backends of Web shops. (Jens Heyens, Kai Greshake, Eric Petryka)

Il n’y a pas eu de piratage à proprement parlé, seulement l’utilisation d’un moteur de recherche (« Shodan ») et du logiciel « nmap » pour retrouver tous les serveurs NoSQL accessibles via le web.

Les bases de données sont accessibles en lecture (première grosse faille), mais aussi en écriture !! Et c’est là que les choses se compliquent, puisqu’il serait possible de modifier / altérer les données de ces bases et ainsi compromettre l’activité d’une entreprise « victime » !

Après cette découverte, les étudiants ont contacté rapidement les autorités (CNIL, CERT…) pour leur faire parvenir leur travail. Des mesures sont actuellement prises pour résorber et combler les trous de sécurité des différentes grandes entreprises touchées.

Vous pouvez retrouver leur rapport complet à cette adresse.


Avis personnel

Que faut-il retenir de cette découverte ? Le système de base de données MongoDB est-il vraiment faillible ou est-ce un problème de configuration de la part des SysAdmin ?
Je pense surtout que de (trop) nombreux SysAdmin installent les systèmes de bases de données rapidement et (malheureusement) avec les configurations de base. Ainsi, même si les documentations fournies permettent d’avoir un un système rapidement mis en place, il est primordial de revoir entièrement la configuration pour la sécuriser au maximum…

Et il ne faut surtout pas oublier de tester la sécurité mise en place pour s’assurer de son bon fonctionnement !

Source

Mots clés

Julien HOMMET

Bercé par l'informatique depuis mon plus jeune âge, je transforme ma passion en expertise.

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.