Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
17 декабря 2015 года
В начале года группа исследователей обратила внимание на наличие в сети около 40 тысяч серверов MongoDB, доступных для внешних запросов из-за проблем с настройкой аутентифицированного доступа. Джон Мазерли (John Matherly), создатель поискового движка Shodan, спустя десять месяцев повторил опыт и пришёл к выводу, что в сети до сих пор присутствует (Архивная копия от 30 мая 2020 на Wayback Machine) около 35 тысяч незащищённых серверов MongoDB, общий размер данных на которых составляет 684.8 Тб.
Среди доступных для свободного доступа данных оказалось более 25 млн пользовательских аккаунтов различных приложений и сервисов. Из информации, которую можно получить через обращение к незащищённым серверам MongoDB, отмечаются приватные сообщения пользователей, персональные данные абонентов и хэши паролей. В том числе проблемы с настройкой доступа к MongoDB стали причиной утечки параметров 13 миллионов пользователей программы MacKeeper, предназначенной для оптимизации OS X. Большинство незащищённых экземпляров MongoDB размещены на облачных хостингах от Amazon, DigitalOcean и Aliyun/Alibaba.
Примечательно, что проведение аналогичного исследования в июле выявило лишь около 30 тысяч незащищённых серверов MongoDB и с тех пор число открытых БД MongoDB увеличилось на 5 тысяч. При этом наиболее популярной версией MongoDB среди незащищённых систем является 3.0.7, что вызывает удивление, так как начиная с версии 3.0 MongoDB по умолчанию принимает только локальные запросы, прикрепляясь к интерфейсу "localhost". Т.е. для приёма запросов с внешних адресов требуется явное изменение настроек по умолчанию, ведущее к снижению безопасности. Судя по всему, подобные незащищённые настройки могли стать следствием невнимательного обновления с ветки 2.x, в которой настройки по умолчанию подразумевали присоединение ко всем сетевым интерфейсам без задания параметров аутентификации.
По данным исследователя, ситуация с MongoDB не уникальна и открытие неаутентифицируемого доступа к БД через внешний сетевой интерфейс также наблюдается для таких NoSQL-систем, как Memcached, Redis, CouchDB, Cassandra и Riak. Проведение похожего анализа для Memcached выявило около 130 тысяч (Архивная копия от 13 июня 2017 на Wayback Machine) незащищённых экземпляров, доступных извне. Размер прокэшированных в них данных оценен в 8 Тб, а суммарных размер образуемого ими хранилища - 49 Пб. При желании злоумышленники могут использовать открытые экземпляры Memcached для хранения своих данных или для организации атак через подстановку фиктивных записей в кэш.
Для проведения исследования использовался сервис Shodan, который в отличие от традиционных поисковых систем осуществляет поиск устройств, доступных для обращений по Сети. Например, Shodan можно использовать для выявления серверов с определённым открытым сетевым портом или для поиска устройств, относящихся к категории "интернет вещей". Сервис предоставляет достаточно неплохую детализацию, например, его можно использовать для
Источники
[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
