Site icon Sophos News

Base de données MongoDB : des millions d’enregistrements exposés à cause d’une instance non sécurisée

base de donnees mongodb

Une autre instance de la base de données MongoDB a été découverte, non protégée et exposant 11 millions de données clients.

L’ancien expert en sécurité de Kromtech, Bob Diachenko, qui a fait la découverte lundi dernier, a déclaré que l’instance de la base de données MongoDB révélait des enregistrements comprenant des données personnelles telles que des adresses email, des noms complets, le sexe et l’adresse physique (code postal, ville de résidence). La base de données MongoDB contenait également des données DNS et des informations sur la réponse du serveur.

Pour être précis, l’ensemble des données de 43,5 Go contenait 10 999 535 adresses email, toutes basées sur Yahoo.

Il n’y a pas eu beaucoup d’indications sur le propriétaire de la base de données. Le nom de la base de données lui-même ne donnait aucune indication sur ce dernier, les données exposées ne comprenaient pas non plus les emails de l’administrateur, les logs système ou des informations sur l’hôte.

Mais il y avait un indice : un petit suffixe au niveau de plusieurs enregistrements. Diachenko a déclaré qu’un exemple était “Yahoo_090618_ SaverSpy”, tandis que ZDNet mentionnait “Content-SaverSpy-09092018”. Ce qui amène certains à conclure que la base de données pourrait appartenir à une entreprise de bons de réduction/discount nommée SaverSpy : un site web de transactions quotidiennes géré par Coupons.com.

Ni SaverSpy, ni Coupons.com n’ont répondu aux demandes de ZDNet et de Diachenko, mais quelques heures après avoir été sollicités, la base de données a été mise hors ligne.

Il semble que cette même base de données ait des antécédents en matière de mauvaise configuration. Shodan l’avait déjà qualifié de base “compromise” dès le mois de juin. Diachenko déclare qu’elle contenait une base de données “d’avertissement” avec une collection de “Readme” et une demande de rançon exigeant 0,4 bitcoin pour que les données soient publiées.

Les rançonneurs ont dû cafouiller au niveau du script, étant donné que toutes les données étaient intactes lundi. Diachenko a déclaré :

Je suppose que cela résulte d’un scénario de script défaillant utilisé par les cybercriminels (et d’une bonne dose de chance pour les propriétaires de la base de données !).  

Ceci est la deuxième instance de MongoDB non protégée que Diachenko a repérée ce mois-ci. Il y a deux semaines, il a découvert 445 millions d’enregistrements appartenant à Veeam, une société de logiciels de sauvegarde, de récupération après sinistre et de gestion intelligente des données.

Tout cela n’est pas exactement la faute de MongoDB, il appartient aux personnes qui utilisent le produit de le configurer de manière appropriée pour une utilisation en ligne, mais le problème est tout de même que cette base de données se manifeste un peu trop souvent vis à vis de ce type de violation de données !

Sur certaines instances de MongoDB, la configuration par défaut fait en sorte que la base de données “écoute” au niveau d’un port accessible au public dès son installation. Les administrateurs sont censés reconfigurer au niveau des paramètres, mais beaucoup ne le font pas. Le résultat est une base de données MongoDB connectée à internet sans contrôle d’accès, ni authentification !

À partir de la version 2.6.0, MongoDB a empêché ce type d’incident lorsqu’il a commencé à refuser toutes les connexions réseau à la base de données, sauf si explicitement configuré par un administrateur.

Le fait que la base de données récemment découverte puisse appartenir à SaverSpy, et semble avoir été (sans succès) rachetée, indique simplement qu’il existe des cybercriminels qui se concentrent sur les bases de données MongoDB mal configurées. Comme nous l’avons noté dans notre article sur la fuite de données chez Veeam, la base de données a même sa propre version de ransomware appelée Mongo Lock.

En plus d’être vulnérables vis à vis d’attaques de ransomware, les enregistrements exposés sont susceptibles de fournir beaucoup d’informations à de nombreuses autres types d’attaques : spammeurs, scammeurs et phisheurs de toutes sortes.

Il appartient aux administrateurs de la base de données de verrouiller celle-ci !


Billet inspiré de Here we Mongo again! Millions of records exposed by insecure database, sur Sophos nakedsecurity.

Exit mobile version