IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

NoSQL Discussion :

Plus de 2000 instances MongoDB prises en otage dans l'attente du paiement d'une rançon,


Sujet :

NoSQL

  1. #21
    Membre éprouvé
    Profil pro
    Inscrit en
    Mai 2011
    Messages
    498
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2011
    Messages : 498
    Points : 1 148
    Points
    1 148
    Par défaut
    Citation Envoyé par maske Voir le message
    C'est vrai dans l'absolu, mais quand même. Quand j'installe un soft ou un outil, je ne m'attends pas à ce qu'il soit ouvert au monde entier par défaut.

    Ça me parait bizarre de reporter la faute exclusivement sur l'utilisateur, surtout de la part d'un outil open source qui vante sa simplicité d'utilisation (je ne parle pas de mongo spécifiquement).

    Deja j'ai envie de dire que "ouvert" n'a rien a voir avec le monde professionel. Tu peux mettre un mot de passe par defaut comme wordpress, my sql, cela va rien changer.
    Un utilisateur a des chances d'etre un developeur, sysadmin, deveops; whatever ils ont une responsabilite envers nos donnees. Celon le type d'applications, on joue avec la vie des gens. Le piratage est parfois une lecon par des crackers pour nous dire de mieux controller nos donnes. Est-ce que un medecin doit faire le minimum, c'est un peu trop facile. Il y a une limite a la feignantise.

    Quand on est paye 30-45 k, je m'attends a ce que le gars puisse au minimum creer un system utilisateur minimal. Si tu peux creer un compte user sur windows, tu peux largement prendre un heure pour lire, tester la securite de mongo de DB. Il faut arreter avec le poil de la main. Aujourd'hui on arrive dans une ere ou certaine donnes sont critiques pour n'importe quel utilisateur.



    Chercher pas d'excuse, faite le neccessaire.

  2. #22
    Candidat au Club
    Inscrit en
    Avril 2008
    Messages
    3
    Détails du profil
    Informations forums :
    Inscription : Avril 2008
    Messages : 3
    Points : 2
    Points
    2
    Par défaut Stop au foutage de G****
    100% en accord avec koyosama.

    Il faut arrêter de vous tourner les pouces et faire votre job => vous êtes payé pour ça même en tant que simple DEV.
    Quand j'installe un nouveau soft, je lis TOUJOURS la doc, la config et la sécu. Oui je sais "on doit lire"... (payé pour).
    Premier principe, vérifier les accès, vérifier les ports, les comptes, les directories, en un mot "être maître de VOTRE architecture".
    Si un port peut être changé, changez le (faite votre carto)! idem pour les comptes, créez vos admin puis supprimez tous les comptes, c'est basic mais combien sont encore accessible avec juste "admin/admin" ?!

    Si vous pouvez découpler l'accès, faite le (évitez les accès direct autant que faire ce peu) ça vous évitera les sempiternel faille de sécu.
    etc, etc, etc

    Pour les anciens qui avaient l'habitude de manipuler les IRQ ça semble logique qu'une config n'est qu'un "default usage" et non un "ready to use", mais vous êtes tellement habitué au conformisme et moutonnage que vous ne vous rendez même plus maitre de vos archi/install. Edifiant !

  3. #23
    Membre éprouvé

    Homme Profil pro
    non
    Inscrit en
    Mai 2008
    Messages
    394
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : non

    Informations forums :
    Inscription : Mai 2008
    Messages : 394
    Points : 1 116
    Points
    1 116
    Par défaut
    Il faut faire la part des choses quand même. Évidemment que la responsabilité revient à l'entreprise, lorsqu'elle se fait pirater des données à cause d'un défaut de sécurisation - charge à cette dernière d'en tirer les conséquences. De l'autre coté, moi (qui n'y connais rien), je cherche pour une appli perso un système de base simple et reconnu : mongodb. Si on regarde, c'est vendu comme un truc efficace dans son périmètre, facile à installer et à utiliser. Je lis ça, je ne me demande pas si l'installation par défaut ouvre le système sur le monde entier.

    Alors j'ai perdu ma base, il ne m'en reste qu'un export pdf (complet, heureusement) est-ce que c'est ma faute ? Oui. Est-ce que c'est intégralement ma faute ? Je ne pense pas, j'ai l'habitude d'attendre de l'open source suffisemment d'informations claires - surtout quand on me vend un truc simple et efficace - pour savoir d'un coup d'oeil qu'il faut prendre soin de bloquer plein de trucs. Peut-être que je n'ai pas les bonnes attentes, ou peut-être que les gens dont c'est le métier ont l'habitude de ça (mais vu le nombre de bases piratées, faudrait voir).
    [|]

  4. #24
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    Avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2018
    Messages : 1 548
    Points : 125 220
    Points
    125 220
    Par défaut Base de données MongoDB avec 11 millions d'enregistrements de courrier électronique exposés
    11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB
    Selon un chercheur en cybersécurité

    MongoDB a souffert de lacunes de sécurité pendant plusieurs années au cours desquelles les bases de données MongoDB ont été exposées sur Internet et ne nécessitaient pas d'informations d'identification par défaut. Pour rappel, en une semaine, près de 30 000 bases MongoDB ont été ainsi prises en otage sur 100 000 qui ont été répertoriées par des chercheurs comme étant vulnérables.

    Cependant, depuis lors, Andreas Nilsson, directeur de produit de sécurité chez MongoDB a publié dans un billet ce que doivent faire les administrateurs pour éviter ce type d’attaque : « Ces attaques peuvent être évitées grâce aux nombreuses protections de sécurité intégrées à MongoDB. Vous devez utiliser ces fonctionnalités correctement et notre documentation de sécurité vous aidera à le faire ».

    Nom : 1.jpg
Affichages : 6624
Taille : 45,0 Ko

    Toutefois, les chercheurs continuent à découvrir des données utilisateur exposées dans des instances MongoDB à la merci des cybercriminels. La dernière découverte en date a été faite par Bob Diachenko, chercheur indépendant en cybersécurité le lundi dernier. La base de données non sécurisée exposait une énorme quantité de données utilisateur. « Le lundi 17 septembre au matin, j'ai découvert une énorme base de données clients contenant 11 millions d’enregistrements contenant des informations personnelles telles que l’email, le nom complet, le sexe, l’adresse physique (code postal, état, ville de résidence). », a déclaré le chercheur.

    Les données étaient disponibles sur Internet à partir d'une instance de MongoDB configurée sur l'infrastructure d'hébergement de Grupo-SMS USA, LLC, et pouvaient être consultées par n’importe qui à tout moment. Selon le chercheur, les données ont été indexées pour la première foi le 13 septembre dernier, mais elles pourraient avoir été exposées depuis bien avant.

    Au total, 43,5 Go de données contenant 10 999 535 adresses e-mail basées sur yahoo ont été exposées. Outre les informations personnelles des clients, la base de données comprenait également des détails sur le statut du courrier électronique (envoyé avec succès ou non), indiquant si le courrier électronique avait été transmis et la réponse du serveur.

    Nom : 001.jpg
Affichages : 5561
Taille : 33,7 Ko

    Cependant, ni le nom de la base de données ni aucune information quelle contenait n’a permis au chercheur d’identifier son propriétaire, aucun courrier électronique, journal système ou information d'hôte de l'administrateur n’ayant été trouvé.

    Cependant, dans la description des listes, un message électronique (« Yahoo_090618_ SaverSpy ») a fait penser le chercheur au site web SaverSpy, un site Web de Coupons.com, lui-même exploité par Quotient Technology. SaveSpy.com fournit des coupons de réduction imprimables et numériques pour une large gamme de produits. Mais, une tentative de prise de contact avec le groupe par courrier électronique de notification est restée sans suite : « J'ai essayé de contacter les deux organisations à propos de la violation de données potentielle mais je n'ai reçu aucune réponse au moment de la publication. Cependant, la base de données a été mise hors ligne peu de temps après l'envoi du courrier électronique de notification et désormais inaccessible. » Les données ne sont donc plus exposées même si le propriétaire de la base de données reste introuvable.

    Bob Diachenko a tout de même découvert que la base de données a été « compromise » et une note « Readme » qui contenait une demande de rançon. Selon la demande, il était exigé 0,4 BTC soit environ 2 545,3 USD pour récupérer ses données. Cependant, le chercheur a déclaré qu’au moment où il découvrait la base de données sans protection, toutes les données étaient intactes.

    Il a donc conclu à un scénario de script défaillant utilisé par les escrocs mais aussi à la chance pour les propriétaires de la base de données qui ont pu conserver toutes leurs données. Le chercheur n’est pas à sa première découverte d’instances de base de MongoDB laissées sans protection. Au cours de ce même mois, il aurait découvert une énorme quantité de données appartenant à Veeam, une société de gestion intelligente des données.

    Source : Bob Diachenko

    Et vous ?

    Que pensez-vous de cette découverte ?

    Voir aussi

    Une violation de données coûterait environ 3,86 millions $ US par entreprise et par an, selon une étude de Ponemon Institute pour IBM Security
    La montée en puissance des armes numériques de plusieurs pays inquiète les USA, la protection de ses infrastructures pourrait devenir plus complexe
    Protection des données : 2/3 des professionnels de l'IT pensent que leur entreprise ne respecte pas toutes les lois, selon une étude de Gemalto
    Facebook, Google, Microsoft et Twitter lancent un projet open source de portabilité des données, pour des transferts directs entre plateformes
    USA : les cas de violation de données recensés ont augmenté de 40 % en 2016, d'après un rapport de l'ITRC et du CyberScout
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  5. #25
    Membre actif
    Homme Profil pro
    Consultant communication & réseaux
    Inscrit en
    Octobre 2013
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant communication & réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Octobre 2013
    Messages : 86
    Points : 206
    Points
    206
    Par défaut
    No comment !

Discussions similaires

  1. [Win 2000] Ajouter un compte du domaine dans le groupe Admin
    Par drinkmilk dans le forum Windows Serveur
    Réponses: 4
    Dernier message: 14/03/2006, 13h03
  2. Quel SGBD peut gérer plus de 2000 champs par table?
    Par colorid dans le forum Bases de données
    Réponses: 9
    Dernier message: 23/11/2005, 21h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo