MongoDB افشای اطلاعات
اخبار

MongoDB و افشای اطلاعات ۶۶ میلیون کاربر

یک محقق فناوری اطلاعات امنیتی توانست حجم گسترده‌ای از اطلاعات بیش از ۶۶ میلیون کاربر را از یک پایگاه داده MongoDB حفاظت نشده استخراج کند.

در ماه‌های اکتبر و نوامبر ۲۰۱۸، یک محقق امنیتی، چندین مورد پایگاه داده وصله نشده MongoDB که توسط یک جمع کننده داده بر روی آدرس IPهای مختلف میزبانی می‌شدند را شناسایی کرد. این داده‌ها شامل مجموع ۶۶،۱۴۷،۸۵۶ رکورد منحصر به فرد است و در حقیقت حاوی اطلاعات خصوصی بیش از ۸۲ میلیون شهروند ایالات متحده است. فیلدهای افشا‌ء شده عبارتند از نام کامل، کار، آدرس ایمیل‌های شخصی، شماره تلفن، آدرس IP، عنوان شغلی، جزئیات مکان شخص، تاریخ اشتغال، مهارت‌ها و لینک‌های پروفایل LinkedIn افراد و … .

پیش‌تراین محقق در زمینه امنیت چندین بارآسیب‌پذیری‌های بحرانی و عدم احراز هویت در پایگاه داده MongoDB را اعلام کرده بود.

با استفاده از تنظیمات دیوار آتش دسترسی به پایگاه داده MongoDB ازمحیط نامطمئن را محدود کنید.

ضعف احراز هویت در MongoDB؛ به صورت پیش‌فرض این پایگاه داده بدون پسورد نصب می‌شود. در مستندات کاربری پایگاه داده MongoDB آمده است، برقراری امنیت برای این پایگاه داده بر عهده استفاده کننده است و فرض توسعه‌دهندگان این پایگاه داده این است که از این پایگاه داده در یک محیط قابل اعتماد استفاده می شود. سایر پایگاه‌های NoSQL نیز از همین ضعف رنج می برند. با استفاده از تنظیمات دیوار آتش دسترسی به پایگاه داده MongoDB ازمحیط نامطمئن را محدود کنید.

همواره با استفاده از role ها سطح دسترسی کاربران پایگاه داده را محدودکنید.

ضعف کنترل سطح دسترسی در MongoDB؛ هر کاربری که در پایگاه داده ایجاد می شود دسترسی فقط-خواندنی به کل پایگاه داده دارد. همواره با استفاده از role‌ها سطح دسترسی کاربران پایگاه داده را محدود کنید.

منبع: Hack Read

MongoDB و افشای اطلاعات ۶۶ میلیون کاربر

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top