Μια μη ασφαλής MongoDB βάση δεδομένων, που ανήκει στο site ιατροφαρμακευτικής ασφάλισης, MedicareSupplement.com, βρέθηκε εκτεθειμένη στο διαδίκτυο τον περασμένο μήνα. Η βάση δεδομένων περιείχε 5 εκατομμύρια αρχεία. Αυτά τα αρχεία περιελάμβαναν προσωπικές και ιατρικές πληροφορίες.
Ιδιοκτήτης και διαχειριστής του MedicareSupplement.com είναι η ασφαλιστική εταιρεία TZ Insurance Solutions. Σκοπός του site είναι να βοηθήσει τα άτομα να βρουν ένα κατάλληλο ασφαλιστικό σχέδιο Medigap. Πρόκειται για μια μορφή ιδιωτικής ασφάλειας υγείας. Στη σελίδα της στο Facebook, η εταιρεία ισχυρίζεται ότι έχει καταφέρει να βοηθήσει περισσότερους από 400.000 ανθρώπους στην εύρεση της κατάλληλης ασφάλειας.
Ουσιαστικά, το site βοηθά τους πιθανούς πελάτες να αποφασίσουν ποιο ασφαλιστικό πρόγραμμα θέλουν, προσφέροντάς τους μια σύγκριση όλων των δυνατών επιλογών, που υπάρχουν εκτός Medicare. Ωστόσο, οι χρήστες πρέπει να εισάγουν κάποια προσωπικά στοιχεία σε μια ηλεκτρονική φόρμα, για να λάβουν δωρεάν προσφορά.
Η δημόσια βάση δεδομένων αποκαλύφθηκε στις 13 Μαΐου από ερευνητές της Compariteh, οι οποίοι συνεργάστηκαν με τον Bob Diachenko, εδικό ασφαλείας, που ειδικεύεται στον εντοπισμό ευαίσθητων δεδομένων, που έχουν εκτεθεί στο διαδίκτυο.
Οι πληροφορίες, που περιέχονται στη βάση δεδομένων, είναι αρκετές για την ταυτοποίηση των ατόμων και τον προσδιορισμό των ενδιαφερόντων τους, όσον αφορά στην ασφάλεια υγείας. Αυτές οι πληροφορίες είναι ονόματα, ταχυδρομικές διευθύνσεις, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ημερομηνίες γέννησης, φύλο, αριθμοί τηλεφώνου και διευθύνσεις IP.
Οι ερευνητές ενημέρωσαν το MedicareSupplement.com για την εκτεθειμένη βάση δεδομένων, αλλά οι εκπρόσωποι της ιστοσελίδας δεν απάντησαν. Απλώς τροποποίησαν τη διαμόρφωση του MongoDB server για να προστατεύσουν τη βάση δεδομένων.
Ο Diachenko προειδοποιεί τους χρήστες ότι η έλλειψη ελέγχου ταυτότητας βοηθά τους hackers να αποκτούν πρόσβαση στους ανοικτούς MongoDB servers και να εγκαθιστούν κακόβουλα λογισμικά.
Επίσης, οι hackers μπορούν να αποκτήσουν πλήρη δικαιώματα διαχειριστή για το εκτεθειμένο σύστημα, τα οποία δίνουν τη δυνατότητα απομακρυσμένης πρόσβασης σε πόρους του server. Έτσι, θα μπορούν να εκτελέσουν κακόβουλο κώδικα και να κλέψουν ή να καταστρέψουν αποθηκευμένα δεδομένα, που περιέχει ο server.
Τα άτομα, των οποίων τα δεδομένα βρίσκονται εκτεθειμένα, μπορούν να γίνουν στόχος και άλλων επιθέσεων.
