Το MongoDB αντιμετωπίζει και πάλι προβλήματα με τις βάσεις δεδομένων του καθώς φαίνεται να έχουν διαρρεύσει διάφορα δεδομένα.
Τον Φεβρουάριο, ένας ερευνητής ασφαλείας που ονομάζεται Bob Diachenko βρήκε μια βάση δεδομένων MοngoDB που περιέχει τέσσερις συλλογές δεδομένων και συνολικά 150GB δεδομένων, συμπεριλαμβανομένων περίπου 763 εκατομμυρίων μοναδικών email. Το data instance ήταν εντελώς διαθέσιμο και τα δεδομένα αποθηκεύτηκαν σε απλό κείμενο. Το περιστασιακό στοιχείο προσωπικής ταυτοποίησης (PII) είναι η πιο πρόσφατη βάση δεδομένων MongoDB που θα χτυπηθεί σε παραβίαση συνολικού ύψους εκατομμυρίων αρχείων.
Στο blog post ανακοινώνοντας την ανακάλυψη, ο Diachenko ανέφερε με λεπτομέρειες το είδος των δεδομένων που βρέθηκαν στα αρχεία, καθώς και ο ιδιοκτήτης της βάσης δεδομένων – Verifications.io. Όταν ενημερώθηκε για τη διαθεσιμότητα του συνόλου δεδομένων, η εταιρεία “έριξε” το website πολύ γρήγορα, αλλά ακόμη και τώρα που γράφεται το άρθρο, το site δεν είναι online.
Ενώ τα δεδομένα που εκτίθενται σε αυτό το περιστατικό είναι αξιοσημείωτα για το μέγεθός του, είναι απλώς το τελευταίο σε μια σημαντική σειρά παραβιάσεων δεδομένων και εκθέσεων που αφορούν το MongoDB. Σε ένα blog post στο Krebs Security, ο Brian Krebs ανέφερε ότι δεκάδες χιλιάδες βάσεις δεδομένων MongoDB είχαν πληγεί με ransomware. Αυτές οι βάσεις δεδομένων που δεν χρησιμοποιούσαν έλεγχο ταυτοποίησης ήταν ιδιαίτερα ευαίσθητες στις επιθέσεις ransomware.
Επίσης, τον Ιανουάριο, ο Diachenko ανακάλυψε μια άλλη ανοιχτή βάση δεδομένων MongoDB γεμάτη με προσωπικές πληροφορίες από άτομα που αναζητούν εργασία. Είναι, μάλλον, πολύ εύκολο η διαμόρφωση μιας βάσης δεδομένων MongoDB με τρόπους που ανοίγουν την πόρτα στους κλέφτες και τους επιτιθέμενους.
Και αυτό είναι πραγματικά το θέμα. Το MοngoDB μπορεί να ρυθμιστεί με τρόπους που είναι αρκετά ασφαλείς, αλλά ένας αρχάριος προγραμματιστής που παίρνει απλώς τις προεπιλεγμένες ρυθμίσεις σε κάθε βήμα στην δημιουργία μιας βάσης δεδομένων θα δημιουργήσει ένα σύνολο δεδομένων χωρίς καμία προστασία. Ο αριθμός των περιπτώσεων του MongoDB που είναι πολύ πιθανό να αντιμετωπίσουν πρόβλημα είναι πολύ μεγάλος.Μια γρήγορη αναζήτηση Shodan δείχνει 67.864 εγκαταστάσεις MοngoDB σε όλο τον κόσμο, με τις περισσότερες – λίγο πάνω από τα δύο τρίτα – να έχουν γίνει στις ΗΠΑ. Η Κίνα είναι η επόμενη σε ότι αφορά τη χρήση του MongοDB, με μόλις λιγότερο από το μισό αριθμό περιπτώσεων να βρέθηκαν στις ΗΠΑ.
Το MongoDB είναι επίσης δημοφιλές στο cloud. Η ίδια αναζήτηση Shodan δείχνει ότι Amazon.com έχει 9,016 περιπτώσεις MongoDB, το Digital Ocean 4.966, η Tencent φιλοξενεί 3.918, η Microsoft Azure 2.849 και το Google Cloud 1.931.
Τι πρέπει να γίνει για την εξασφάλιση των βάσεων δεδομένων MongοDB; Η πιο άμεση απάντηση θα ήταν να αλλάξουν οι προεπιλεγμένες ρυθμίσεις, αλλά η κατάσταση του MongoDB ως έργο ανοιχτού κώδικα καθιστά την διαδικασία στην καλύτερη των περιπτώσεων αργή. Η απάντηση, αντ ‘αυτού, είναι στην εκπαίδευση για τους διαχειριστές και τους προγραμματιστές που είναι πιθανότερο να αναπτύξουν MongoDB στην δική τους περίπτωση. Όπως ο Chris DeRamus, ο CTO του DivvyCloud, έγραψε στη Dark Reading σε μια δήλωση: “Ζούμε σε έναν κόσμο όπου τα δεδομένα είναι βασιλιάς – η συλλογή, η αποθήκευση και η αξιοποίηση των δεδομένων είναι απαραίτητα για τη λειτουργία κάθε είδους επιχείρησης που μπορείτε να σκεφτείτε. Υπάρχουν πάρα πολλοί λόγοι για τους οποίους οι οργανισμοί πρέπει να είναι επιμελείς στην εξασφάλιση της προστασίας των δεδομένων με τους κατάλληλους ελέγχους ασφαλείας.”
Η MongoDB απαριθμεί εταιρείες όπως η KPMG, η Telefonica και η Eharmony ως πελάτες της. Προφανώς είναι δυνατό να διαμορφώσετε και να διαχειριστείτε μια βάση δεδομένων MongoDB με τρόπο ασφαλή και σύμφωνα με πολλαπλούς κανονισμούς.
