600 TB danych w publicznie dostępnych bazach MongoDB

Pośród zasobów światowej pajęczyny można odnaleźć 30 tys. instancji MongoDB, do których dostęp nie został w jakikolwiek sposób zabezpieczony. Przekłada się to na blisko 600 terabajtów publicznie dostępnych danych…

John Matherly, twórca słynnego swego czasu serwisu Shodan, zwrócił na swym blogu uwagę na problem niezabezpieczonych systemów zarządzania bazami danych MongoDB. Jak się okazuje, setki terabajtów danych zgromadzonych w dziesiątkach tysięcy instancji są dostępne praktycznie dla każdego.

Shodan — przykładowy wynik dla MongoDB

Shodan zasłynął niegdyś jako skaner i zarazem wyszukiwarka urządzeń i usług dostępnych w Internecie. Początkowo serwis ten skanował i indeksował informacje o usługach dostępnych na najpopularniejszych portach, takich jak TCP 21, 22, 23 oraz 80. Jednak z biegiem czasu zakres jego działania został rozszerzony również o rozmaite systemy bazodanowe, takie jak MySQL, czy PostgreSQL.

O ile większość klasycznych (relacyjnych) systemów zarządzania bazami danych jest zazwyczaj całkiem nieźle zabezpieczona, o tyle zaskakujące i niepokojące rezultaty zaobserwowano dla nowszych (nierelacyjnych) rozwiązań, takich właśnie jak MongoDB.

Niektórzy użytkownicy otwartych instancji MongoDB już padli ofiarą ataków

Tysiące zupełnie otwartych instancji zawierających znaczące ilości danych. Jest to najprawdopodobniej związane z domyślną konfiguracją dystrybuowanych przez ponad dwa lata wersji MongoDB. W taki sposób nieświadomi użytkownicy ( jak wynika z analiz — najczęściej korzystający z rozwiązań „w chmurze”) zostali narażeni na wyciek danych… a niektórzy z nich już padli ofiarą ataków.

John Matherly sugeruje, że przykładów podobnych do MongoDB jest więcej. Wygląda więc na to, że nierelacyjnym systemom zarządzania bazami danych (przynajmniej pod względem domyślnego poziomu zabezpieczeń) daleko jeszcze do swych relacyjnych przodków.

— Wojciech Smol