Cảnh báo bảo mật lớn dành cho 40,000 cơ sở dữ liệu MongoDB không an toàn trên internet

Ngoc Huynh

Các sinh viên phát hiện ra số lượng rất lớn cơ sở dữ liệu MongoDB không có quyền truy cập, bao gồm cơ sở dữ liệu các công ty viễn thông của Pháp với 8 triệu địa chỉ và số điện thoại của khách hàng.

MongoDB là một cơ sở dữ liệu mã nguồn mở thuộc họ nhà NoSQL, MongoDB đang đối mặt với cảnh báo bảo mật lớn sau khi gần 40,000 cơ sở dữ liệu khách hàng bị phát hiện không an toàn trên internet do Information Age tiết lộ.

Một cơ sở dữ liệu riêng – từ công ty viễn thông của Pháp (không được nêu tên) – có khoảng 8 triệu địa chỉ và số điện thoại của khách hàng.

Ba sinh viên đến từ đại học Saarland ở Đức là Jens Heyens, Kai Greshake và Eric Petryka đã phát hiện ra việc cơ sở dữ liệu MongoDB đang chạy như là một dịch vụ hay như là phần phụ trợ trang web trên vài ngàn các máy chủ thương mại công khai trên internet.

“Chẳng có bất kỳ một công cụ đặc biệt nào và bất kỳ thước đo bảo mật nào, chúng ta có thể truy cập ghi và truy cập viết vào hàng ngàn cơ sở dữ liệu, bao gồm dữ liệu nhạy cảm của khách hàng và các phụ trợ trực tiếp của các web shop,” các sinh viên chia sẻ.

Người ta nghĩ rằng các tài liệu và chỉ dẫn cho việc cài đặt các máy chủ MongoDB bằng truy cập internet – ví dụ như, trong AWS Cloud không chỉ rõ ràng yêu cầu để kích hoạt quyền truy cập và sự xác nhận, và chuyển cơ chế mã hóa.

Các công ty cài đặt các web server (máy phục vụ web) MongoDB theo các chỉ dẫn thì có khả năng đã được quan sát tầm quan trọng của việc kích hoạt cơ chế bảo mật và rời khỏi cơ sở dữ liệu mở để truy cập vào internet.

MongoDB chạy theo mặc định trên cổng TCP 27.017, do đó một kẻ tấn công sẽ đơn giản chỉ cần chạy một Scan Port trên mạng internet để tìm cơ sở dữ liệu công khai có thể truy cập, theo các sinh viên, thì việc này “vô cùng dễ dàng, và có thể đạt được trong vòng bốn giờ.

Họ nói thêm rằng các hacker cũng có thể xác định các cơ sở dữ liệu MongoDB có thể truy cập được thông qua công cụ tìm kiếm máy tính Shodan, trong đó có một cơ sở dữ liệu chứa địa chỉ IP với một danh sách các dịch vụ đang chạy và một filter mask dễ sử dụng. Việc sử dụng một tài khoản tiêu chuẩn miễn phí, thì các sinh viên đã có thể xác định một tập hợp đầu tiên các địa chỉ MongoDB dễ bị làm hại.

Sau khi kiểm tra các tác động và rủi ro liên quan đến các cơ sở dữ liệu MongoDB không có bảo đảm, các sinh viên đã tính được 39.890 trường hợp – nhưng con số này có thể là nhiều hơn khi một số nhà cung cấp lớn chặn quá trình quét.

Có vẻ mọi người bị xúc phạm một cách đặc biệt do thiếu sự thừa nhận bởi các công ty viễn thông Pháp liên quan đến sự an toàn của dữ liệu khách hàng.

“Các lỗi không phải là phức tạp, nhưng tác động của nó thì rất ghê gớm,” Michael Backes, giáo sư ngành bảo mật thông tin và mật mã học tại Đại học Saarland và là giám đốc của CISPA, ông đã liên lạc với các sinh viên vào cuối tháng trước cho biết.

Các sinh viên đã thông báo cho Cơ quan Bảo vệ dữ liệu của Pháp (CNIL), Cục liên bang về bảo mật thông tin và MongoDB để những người sở hữu cơ sở dữ liệu bị ảnh hưởng có thể được biết.

Trong những năm gần đây các hệ thống NoSQL giống như MongoDB đã thách thức các cơ sở dữ liệu quan hệ, mà từ lâu đã được coi là nền tảng phổ biến cho dữ liệu doanh nghiệp, vì chúng có thể xử lý một số lượng lớn hơn nhiều. Hệ thống tập tin phân phối Hadoop và framework xử lý song song MapReduce đã xâm nhập ồ ạt khi các tổ chức công nhận phạm vi xử lý các tập dữ liệu lớn.

Như cơ sở dữ liệu hàng đầu về tài liệu mã nguồn mở, thì MongoDB là trung tâm của xu hướng này với một số trang web và dịch vụ chủ yếu tích hợp nó cho cơ sở dữ liệu phụ trợ của họ. Tuy nhiên, cảnh báo bảo mật này có thể sẽ là một trở ngại cho các công ty, mà tháng trước có giá trị khoảng 1.6 tỷ đôla sau một vòng tài trợ mới từ các nhà đầu tư.

Điều này được hiểu rằng MongoDB đã nỗ lực để loại bỏ các vấn đề mà rất nhiều các cơ sở dữ liệu vẫn không có bảo đảm.

“MongoDB mất bảo mật rất nghiêm trọng,” Eliot Horowitz, CTO và đồng sáng lập tại MongoDB nói. “Gần đây, một nhóm các nhà nghiên cứu người Đức phát hiện ra trường hợp không có bảo đảm an toàn của MongoDB chạy công khai trên internet.

“Độc giả quan tâm về quyền truy cập vào hệ thống của họ được nhắc nhở về các nguồn sau: trình cài đặt phổ biến nhất cho MongoDB (RPM) hạn chế truy cập mạng để cài đặt localhost theo mặc định, bảo mật được đề cập chi tiết trong sách hướng dẫn bảo mật của chúng tôi; phương pháp để làm điều này sẽ thay đổi đáng kể tùy thuộc vào nơi mà các dịch vụ được lưu trữ; người sử dụng các dịch vụ quản lý MongoDB (MMS) có thể kích hoạt cảnh báo phát hiện nếu triển khai của họ bị ảnh hưởng.

“Chúng tôi khuyến khích người dùng mà đã trải qua một sự cố bảo mật về MongoDB tạo ra một báo cáo có thể dễ bị làm hại.”

Chia sẻ bài viết ngay

Nguồn bài viết : http://www.information-age.com/