Обновена на 06.06.2017 от Questo
От известно време се чудя каква част от базите данни на компании и институции си седят отворени в интернет и само чакат някой да поиска достъп до тях. Това е стар проблем, който напоследък започва да набира нова гной, тъй като разни недобросъвестни хора влизат в тези бази данни, изтриват ги и после искат откуп, за да възстановят изтритите данни. И много хора си плащат.
MongoDB са сред най-често атакуваните по този начин бази данни. Това се дължи на факта, че по-старите версии на софтуера нямат защита по подразбиране от неоторизиран достъп. Това ги прави потенциално отворени към всеки, който има компютър с интернет и може да използва софтуер за сканиране на свързани към мрежата устройства.
Темата за уязвимите MongoDB бази данни е разгледана в няколко публикации от основателя на Shodan Джон Матърли. За съжаление аз не разбирам нищо от MongoDB, но се доверявам на Матърли, че той разбира, затова ще използвам неговите критерии за търсене, за да проверя за потенциално застрашени бази данни на територията на България. Също така е добре да се отбележи, че още през 2015 г. трима германци публикуваха доклад за около 40 хил. незащитени MongoDB бази данни – включително и принадлежащи на телекомуникационни компании и съдържащи имена, адреси и телефони на хиляди клиенти.
Едно търсене с Shodan изкарва списък с 42 MongoDB бази данни, намиращи се на машини на територията на България. Най-голямата от тях е с размер 4.5 гигабайта, но има и някои сравнително малки от по 30-ина килобайта. Ето как изглежда статистиката:
Bulgaria
42
Top Cities
Sofia
9
Varna
5
Plovdiv
2
Burgas
2
Vratsa
1
Top Versions
2.6.11
4
3.4.2
3
2.6.12
3
2.4.14
3
3.4.4
2
Определена част от MongoDB базите данни работят с относително нова версия на софтуера, което предполага, че нямат проблема със сигурността, който в повечето случаи се експлоатира от хакерите. Също така общият брой на резултатите(42) е сравнително малък на фона на това, което излиза в страни като САЩ(17342) или Китай(12240) например, но там вече говорим за други мащаби.
Всякакви коментари от хора, които се занимават с бази данни, са добре дошли.