Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2012
    Messages
    57
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2012
    Messages : 57
    Points : 1 270
    Points
    1 270

    Par défaut MongoDB : 202 millions de CV exposés sur internet

    MongoDB : 202 millions de CV privés exposés sur internet
    A cause d'une base de données non protégée

    En septembre 2018, Andreas Nilsson, directeur de produit de sécurité chez MongoDB a publié dans un billet ce que doivent faire les administrateurs pour éviter de compromettre leurs données sur internet : « Ces attaques peuvent être évitées grâce aux nombreuses protections de sécurité intégrées à MongoDB. Vous devez utiliser ces fonctionnalités correctement et notre documentation de sécurité vous aidera à le faire ». Bob Diachenko, chercheur indépendant en cybersécurité, directeur de la recherche sur les cyber-risques chez Hacken.io et de la plateforme de bug bounty HackenProof avait découvert une base de données clients vulnérable contenant 11 millions d'enregistrements avec des informations personnelles telles que l’email, le nom complet, le sexe, l’adresse physique (code postal, état, ville de résidence).

    Cette fois, Bob Diachenko après une analyse de flux de données MongoDB du moteur de recherche BinaryEdge a découvert une instance de MongoDB ouverte et non protégée. Comme cela ne suffisait pas, l'adresse IP de la machine se trouvait également sur Shodan, un site web spécialisé dans la recherche utilisé par des chercheurs en sécurité et des pirates pour rechercher des dispositifs mal sécurisés et en prendre le contrôle à l'aide d'un seul navigateur Web.

    Nom : mongodb.jpg
Affichages : 4272
Taille : 20,2 Ko

    La base de données MongoDB de 854 Go ainsi trouvée sans surveillance et sans authentification par mot de passe donnait accès à 202 730 434 CV de demandeurs d'emploi chinois avec des détails non seulement sur les compétences et l'expérience de travail des candidats, mais également sur leurs informations personnelles, telles que numéro de téléphone portable, courrier électronique, mariage, enfants, politique, taille, poids, permis de conduire, niveau d'alphabétisation, salaire attendu et plus. À vu d'oeil, ces informations représentent une mine d'or pour les cybercriminels, qui peuvent l'utiliser pour augmenter le taux de réussite de leurs campagnes de phishing.

    Selon Bob Diachenko, l'origine des données est restée inconnue jusqu'à une correspondance des modèles structurels de la base de données avec celle d'une application permettant l'extraction des CV. L'outil appelé « data-import » semble avoir été créé pour extraire des données (CV) de différentes annonces chinoises, telles que bj.58.com et autres. Quant à la légalité de l'outil, aucun résultat vraiment concluant.

    Toutefois, l'équipe de sécurité de BJ.58.com a affirmé : « Nous avons effectué des recherches dans notre base de données et avons examiné tous les autres systèmes de stockage. Il s'est avéré que les échantillons de données ne nous appartiennent pas. »

    Néanmoins, après la notification sur Twitter de Diachenko, la base de données a été sécurisée. Cependant, il est important de souligner que le journal MongoDB indiquait au moins une douzaine d'adresses IP qui auraient pu accéder aux données de ladite base de données.

    Enfin, toujours selon Diachenko, il n’existe aucune confirmation officielle du propriétaire des données.

    Source : Blog Hackenproof

    Et vous ?

    Qu’en pensez-vous de cette découverte ?
    MongoDB ne devrait-il pas revoir sa sécurité sur internet ?

    Voir aussi

    11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité.
    MongoDB : comment éviter les attaques qui prennent en otage vos données ? Un billet de l'entreprise pour essayer d'endiguer ce phénomène.
    Une violation de données coûterait environ 3,86 millions $ US par entreprise et par an, selon une étude de Ponemon Institute pour IBM Security
    .
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé

    Homme Profil pro
    Écrivain public
    Inscrit en
    août 2005
    Messages
    125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Écrivain public
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2005
    Messages : 125
    Points : 1 053
    Points
    1 053
    Billets dans le blog
    28

    Par défaut Shodan

    Shodan sert à scruter les objets connectés, pas que les sites web. J'ai vu que les données que je voyais sur youtube permettaient d'afficher des pubs sur facebook sans que facebook n'eût su cela. C'est donc que toutes les données de navigation sont centralisées, ce que shodan.io confirme.
    Matthieu Giroux - Rennes - 13 Rue François Tanguy Prigent A 15
    Livres : editions.liberlog.org/
    Contact : matthius@framasphere.org
    Tous les liens : www.agoravox.tv/auteur/matthius

Discussions similaires

  1. Réponses: 3
    Dernier message: 03/10/2018, 15h05
  2. Réponses: 11
    Dernier message: 27/06/2016, 18h19
  3. Réponses: 8
    Dernier message: 14/06/2016, 06h57
  4. Réponses: 54
    Dernier message: 24/11/2014, 18h09
  5. Réponses: 5
    Dernier message: 27/08/2003, 12h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo