Discussion :

[Ludovic Barry]

MongoDB : 202 millions de CV privés exposés sur internet
A cause d'une base de données non protégée

En septembre 2018, Andreas Nilsson, directeur de produit de sécurité chez MongoDB a publié dans un billet ce que doivent faire les administrateurs pour éviter de compromettre leurs données sur internet : « Ces attaques peuvent être évitées grâce aux nombreuses protections de sécurité intégrées à MongoDB. Vous devez utiliser ces fonctionnalités correctement et notre documentation de sécurité vous aidera à le faire ». Bob Diachenko, chercheur indépendant en cybersécurité, directeur de la recherche sur les cyber-risques chez Hacken.io et de la plateforme de bug bounty HackenProof avait découvert une base de données clients vulnérable contenant 11 millions d'enregistrements avec des informations personnelles telles que l’email, le nom complet, le sexe, l’adresse physique (code postal, état, ville de résidence).

Cette fois, Bob Diachenko après une analyse de flux de données MongoDB du moteur de recherche BinaryEdge a découvert une instance de MongoDB ouverte et non protégée. Comme cela ne suffisait pas, l'adresse IP de la machine se trouvait également sur Shodan, un site web spécialisé dans la recherche utilisé par des chercheurs en sécurité et des pirates pour rechercher des dispositifs mal sécurisés et en prendre le contrôle à l'aide d'un seul navigateur Web.

La base de données MongoDB de 854 Go ainsi trouvée sans surveillance et sans authentification par mot de passe donnait accès à 202 730 434 CV de demandeurs d'emploi chinois avec des détails non seulement sur les compétences et l'expérience de travail des candidats, mais également sur leurs informations personnelles, telles que numéro de téléphone portable, courrier électronique, mariage, enfants, politique, taille, poids, permis de conduire, niveau d'alphabétisation, salaire attendu et plus. À vu d'oeil, ces informations représentent une mine d'or pour les cybercriminels, qui peuvent l'utiliser pour augmenter le taux de réussite de leurs campagnes de phishing.

Selon Bob Diachenko, l'origine des données est restée inconnue jusqu'à une correspondance des modèles structurels de la base de données avec celle d'une application permettant l'extraction des CV. L'outil appelé « data-import » semble avoir été créé pour extraire des données (CV) de différentes annonces chinoises, telles que bj.58.com et autres. Quant à la légalité de l'outil, aucun résultat vraiment concluant.

Toutefois, l'équipe de sécurité de BJ.58.com a affirmé : « Nous avons effectué des recherches dans notre base de données et avons examiné tous les autres systèmes de stockage. Il s'est avéré que les échantillons de données ne nous appartiennent pas. »

Néanmoins, après la notification sur Twitter de Diachenko, la base de données a été sécurisée. Cependant, il est important de souligner que le journal MongoDB indiquait au moins une douzaine d'adresses IP qui auraient pu accéder aux données de ladite base de données.

Enfin, toujours selon Diachenko, il n’existe aucune confirmation officielle du propriétaire des données.

Source : Blog Hackenproof

Et vous ?

Qu’en pensez-vous de cette découverte ?
MongoDB ne devrait-il pas revoir sa sécurité sur internet ?

Voir aussi

11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité.
MongoDB : comment éviter les attaques qui prennent en otage vos données ? Un billet de l'entreprise pour essayer d'endiguer ce phénomène.
Une violation de données coûterait environ 3,86 millions $ US par entreprise et par an, selon une étude de Ponemon Institute pour IBM Security
.

[matthius]

Shodan sert à scruter les objets connectés, pas que les sites web. J'ai vu que les données que je voyais sur youtube permettaient d'afficher des pubs sur facebook sans que facebook n'eût su cela. C'est donc que toutes les données de navigation sont centralisées, ce que shodan.io confirme.