یک محقق فناوری اطلاعات امنیتی توانست حجم گستردهای از اطلاعات بیش از ۶۶ میلیون کاربر را از یک پایگاه داده MongoDB حفاظت نشده استخراج کند.
در ماههای اکتبر و نوامبر ۲۰۱۸، یک محقق امنیتی، چندین مورد پایگاه داده وصله نشده MongoDB که توسط یک جمع کننده داده بر روی آدرس IPهای مختلف میزبانی میشدند را شناسایی کرد. این دادهها شامل مجموع ۶۶،۱۴۷،۸۵۶ رکورد منحصر به فرد است و در حقیقت حاوی اطلاعات خصوصی بیش از ۸۲ میلیون شهروند ایالات متحده است. فیلدهای افشاء شده عبارتند از نام کامل، کار، آدرس ایمیلهای شخصی، شماره تلفن، آدرس IP، عنوان شغلی، جزئیات مکان شخص، تاریخ اشتغال، مهارتها و لینکهای پروفایل LinkedIn افراد و … .
پیشتراین محقق در زمینه امنیت چندین بارآسیبپذیریهای بحرانی و عدم احراز هویت در پایگاه داده MongoDB را اعلام کرده بود.
با استفاده از تنظیمات دیوار آتش دسترسی به پایگاه داده MongoDB ازمحیط نامطمئن را محدود کنید.
ضعف احراز هویت در MongoDB؛ به صورت پیشفرض این پایگاه داده بدون پسورد نصب میشود. در مستندات کاربری پایگاه داده MongoDB آمده است، برقراری امنیت برای این پایگاه داده بر عهده استفاده کننده است و فرض توسعهدهندگان این پایگاه داده این است که از این پایگاه داده در یک محیط قابل اعتماد استفاده می شود. سایر پایگاههای NoSQL نیز از همین ضعف رنج می برند. با استفاده از تنظیمات دیوار آتش دسترسی به پایگاه داده MongoDB ازمحیط نامطمئن را محدود کنید.
همواره با استفاده از role ها سطح دسترسی کاربران پایگاه داده را محدودکنید.
ضعف کنترل سطح دسترسی در MongoDB؛ هر کاربری که در پایگاه داده ایجاد می شود دسترسی فقط-خواندنی به کل پایگاه داده دارد. همواره با استفاده از roleها سطح دسترسی کاربران پایگاه داده را محدود کنید.
منبع: Hack Read
