Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 19.12.2015, 18:14   #975
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 609

kroxus на форуме

IT-безопасность-свежие новости.


Базы данных MongoDB лежат в публичном доступе

Спустя всего несколько дней после недавнего [Ссылки могут видеть только зарегистрированные пользователи. ] с MacKeeper, в ходе которого компания-владелец в буквальном смысле случайно узнала о том, что ее база данных лежит в открытом доступе, новое сканирование показало, что проблема не ограничивается MacKeeper.

Исследователь Джон Матерли (John Matherly), создатель Shodan, поисковой системы для подключенных к Интернету устройств, уже [Ссылки могут видеть только зарегистрированные пользователи. ] в публичном доступе 35 тыс. экземпляров базы данных MongoDB, и, как считает эксперт, это еще не конец. Общий объем данных, попавших в зону риска, составил более 680 Тбайт.

Матерли забил тревогу еще в июле, после того, как нашел 30 тыс. MongoDB, доступных в Сети без аутентификации. Услышав о недавней находке Криса Викери, Матерли решил вернуться к исследованию проблемы. Оказалось, что с момента последней проверки количество потенциально скомпрометированных MongoDB выросло на 5 тыс., несмотря на то что в новой версии популярной базы данных аутентификация требуется по умолчанию. Версии MongoDB 3.0 и выше отвечают на вызов только от локального хоста, поэтому подключиться к базе данных через Интернет не получится. Но при этом оказалось, что большинство открытых инсталляций MongoDB (3010) используют версию 3.0.7 и еще 1256 — версию 3.0.6. Матерли объясняет это тем, что многие пользователи MongoDB 3.0 меняют дефолтную конфигурацию на менее защищенную и не используют файервол для защиты баз данных, оказывающихся, таким образом, доступными через внешнее соединение. «То есть они обновляют версию базы данных, но используют старые, слабо защищенные конфигурации», — пояснил эксперт. Большинство публично доступных баз данных MongoDB располагаются в облаках DigitalOcean, Amazon.com и Alibaba. Если информация, оказавшаяся в открытом доступе, включает критические персональные данные (имена, хэши паролей, даты рождения и так далее), как в случае с MacKeeper, это может стать серьезной проблемой. Матерли подчеркнул, что в такой же ситуации могут оказаться и другие базы данных помимо MongoDB: Redis, CouchDB, Cassandra и Riak также могут быть подвержены риску из-за неправильной конфигурации.

[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика