• Dezenas de Milhares de Bancos de Dados MongoDB Acessíveis via Web

    Um grupo de estudantes do Saarland University's Center for IT-Security, Privacy and Accountability (CISPA) descobriu dezenas de milhares de bancos de dados MongoDB acessíveis aos atacantes remotos, incluindo um casal que pertence a grandes empresas e que contém informações pessoais e financeiras de milhões de seus usuários. Como muitos sabem, MongoDB é um database multi-plataforma, orientado a documentos populares NoSQL, e é usado por muitos dos principais sites e serviços incluindo Craigslist, eBay, SourceForge, Viacom, e muitos outros. Para a pesquisa, os três estudantes aproveitaram Shodan, o mecanismo de busca que indexa todos os tipos de máquinas conectadas à Internet. Eles procuraram por máquinas com o TCP port 27017 (TCP port 27017 é a porta padrão usada pelo MongoDB).


    Eles disseram que descobriram que os bancos de dados MongoDB em execução como um serviço ou site backend em vários milhares de servidores comerciais, estão abertamente disponíveis na Internet. Sem ferramentas especiais e sem burlar as medidas de segurança, eles teriam sido capazes de ler e acessar a milhares de bancos de dados, incluindo, por exemplo, os dados confidenciais de clientes ou backends de lojas na Web.


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/secworld.php?id=17940

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L