The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Утечка персональных данных 275 млн индийских пользователей через публичную СУБД MongoDB

12.05.2019 09:58

Исследователь безопасности Боб Дьяченко (Bob Diachenko) выявил новую крупную общедоступную БД, в которой из-за ненадлежащих настроек доступа СУБД MongoDB оказались выставлены сведения о 275 млн жителей Индии. База включает в себя такие сведения как ФИО, email, номер телефона, дата рождения, данные об образовании и профессиональных навыках, историю трудоустройства, информацию о текущей работе и зарплате.

Пока не ясно кто является владельцем БД, проблемный экземпляр MongoDB выполняется в окружении Amazon AWS. База была обнаружена 1 мая (в Shodan была проиндексирована 23 апреля). Примечательно, что уже 8 мая неизвестные злоумышленники зашифровали имеющиеся данные и стали требовать у владельца выкуп за расшифровку.

  1. Главная ссылка к новости (https://securitydiscovery.com/...)
  2. OpenNews: Утечка 800 млн email через СУБД MongoDB сервиса подтверждения адресов
  3. OpenNews: Ошибка настройки MongoDB привела к утечке 445 млн email-адресов клиентов компании Veeam
  4. OpenNews: Релиз документо-ориентированной СУБД MongoDB 4.0
  5. OpenNews: СУБД MongoDB переведена на новую лицензию, которая пока не проверена на открытость
  6. OpenNews: Используемая проектом MongoDB лицензия SSPL признана недопустимой в Fedora Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mongodb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (57) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:04, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Все правильно, информация должна быть свободной, как и говорил Столлман.
     
     
  • 2.8, troll00 (ok), 11:00, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    О да, а почему вы не выложите здесь ссе свои персональные данные?
     
     
  • 3.10, Аноним (1), 11:06, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не столлманист. Столлман кстати тоже не столлманист, раз и сам не выкладывает.
     
     
  • 4.53, lucentcode (ok), 22:42, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Он - редкостный параноик, что не пользуется даже мобильным, не то что смартфоном. Как думаете, стал бы он выкладывать личные данные о себе? Скорей чувак скроет даже то, что скрывать не стоит. Шапочку из фольги не носит, и то хорошо...
     
     
  • 5.57, Сергей (??), 00:02, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Может и носит, да скрывает
     
     
  • 6.58, Gannet (ok), 00:49, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ЗачОт.
     
  • 5.71, Заслуженный Параноик (?), 11:23, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Он - редкостный параноик, что не пользуется даже мобильным, не то что смартфоном. Как думаете, стал бы он выкладывать личные данные о себе? Скорей чувак скроет даже то, что скрывать не стоит. Шапочку из фольги не носит, и то хорошо...

    А откуда ты это знаешь? Ты за ним следишь да?! Я так и знал! Ха!!! Мы все это знали!

     

  • 1.2, zanswer CCNA RS and S (?), 10:12, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Часто в новостях вижу эту СУБД и в основном причина взлома не правильная настройка прав доступа. Неужели у этой СУБД такая сложная конфигурация, что при настройке многие так часто ошибаются?
     
     
  • 2.3, тоже Аноним (ok), 10:29, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Достаточно сделать кривой настройку по умолчанию - и безопасность накроется тазом.
    Проверено многими жoпоруками, начиная с Майкрософт.

    Правда, информация, которая оказалась скомпрометированной в этой новости - база данных по миллионам индийцев - здорово напоминает лемовского "демона второго рода".

     
     
  • 3.5, А (??), 10:40, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Такую настройку и надо делать по умолчанию, что бы выводить на чистую воду горе-айтишников.
     
     
  • 4.6, anonymous (??), 10:46, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Жертвуя при этом персональными данными сотниями миллионов пользователей? Не соглашусь.
     
     
  • 5.20, Аноним (20), 12:57, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    сотнями миллионов -> индийских <- пользователей...

    плохая карма!

     
  • 4.66, тоже Аноним (ok), 09:05, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если ваша цель - доказать всем одноклассникам, что д'Артаньян - именно вы, тогда вы совершенно правы.
     
  • 2.4, Аноним (4), 10:38, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причем, давно по умолчанию в настройках закрыт доступ снаружи. Индусы либо несколько лет не обновляли монгу, либо открыли после обновления всем - ибо так привычней.
     
     
  • 3.7, anonymous (??), 10:47, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не пользовался MongoDB, но предположу, что, скорее, после обновления был оставлен старый конфиг.
     
     
  • 4.30, Аноним (30), 15:22, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, там надо явно прописать доступ всем ip, т.к. в конфиге появилась новая опция, в которой по дефолту только localhost.
     
  • 4.76, Аноним (76), 20:17, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    она уже года 4 имеет localhost по-умолчанию. Если не больше.....
     
  • 3.13, MrClon (ok), 11:35, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А авторизация обязательная там есть, или как в memcache?
     
  • 3.15, Аноним (15), 11:59, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Расскажи нам как ты обновляешь базы данных на лету на проде. Картинка с мужиком в шляпе.jpg
     
     
  • 4.31, Аноним (30), 15:23, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Беру и обновляю. Сначала на тестовом сервере, потом на слейве и лишь в конце обновляю мастер, если все хорошо (обычно проблем не бывает).
     
     
  • 5.43, Аноним (43), 18:24, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сначала на тестовом сервере

    Слабак.

    Далек ты от реальности где индийский менеджер скажет тебе на индийском: "Хрен тебе, а не сервер". И единственным вариантом ничего не запороть будет ничего не обновлять.

     
     
  • 6.67, индийский менеджер (?), 09:56, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    еще проще: у нас ci/ct (мы без модных технологий не могем), тестовый сервер как бы есть и не один. Там даже тестовый кластер с шардом и фэйловером есть - теоретически, ты мог бы все отладить (я тебя за это всего лишь оштрафую, как за трату рабочего времени не на мои задачи а на непонятную блажь - ну в пятую смену отработаешь, ничего страшного). Практически - а код-то ты тоже исправлять сам будешь? У тебя и доступа-то на запись к тому репо нет.

    Нет, задачи ставить ты не можешь, ты не менеджер разработчиков, и даже я - не.

    И нет, если ты уронишь разработчикам тестовую площадку - тут штрафом не отделаешься, вышвырнут с волчьим билетом- ты за всю жизнь не расплатишься за неправильно потраченное рабочее время этой стаи обезьянок (не потому что они шибко дорогие, конечно)

     
  • 3.65, Аноним (65), 09:04, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты запятыми и тире лучше вообще не пользуйся, чем так
     
  • 2.29, лютый жабист__ (?), 14:58, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Часто в новостях вижу эту СУБД и в основном причина взлома не правильная настройка прав доступа

    Наверняка проблема в том, что изначально доступ закрыт фаерволом, соответственно авторизация особо не нужна. Повод повешать не на внешний интерфейс - например наличие реплик или шардинга.

    А потом фаервол кто-нить отломал, аппаратный или системный и опаньки приплыли...

     
     
  • 3.38, пох (?), 18:03, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    проблема в том что доступ в ман..монд...тьфу, монге - настраивается не нормальным человекопонятным конфигом или, хотя бы, общеупотребимым языком, а совершенно череззаднично, описание этого - вика (ну ты понял - тнул туда, почитай сюда, перелистни туда...короче, бессистемный набор как попало кросслинкнутых страничек), админу для его задач это ненужное ненужно никогда не понадобится, поэтому в командах он плавает (к тому же там с первой попытки у всех обычно получается поломать прод, а вот настроить правильно не только лишь у каждого - опять же из-за неизмеримого черезжопия этой настройки, где даже выделить одну фиксированную отдельную базу для всех доступов, как у того же mysql, макакам оказалось немодно и немолодежно).

    А потом эти альтернативно-одаренные разработчики прикрыли очко bind'ом к 127.0.0.1, с которым, разумеется, работают только васян-локалхосты.

    Фиревал в aws - фикция, поскольку ты заколебешься на ходу добавлять в него инстансы.

    При этом в том же aws работают миллионы му...ой, mysql'ей (тоже не в васян-конфигурациях все, поди) - и что-то я не слышал чтоб хоть хоть с одного вытащили или пошифровали данные.

    Потому что делали для людей - еще в те годы, когда было принято думать головой и делать руками, а бангалорского глиномеса посылать месить дальше.


     
     
  • 4.45, Аноним (45), 19:03, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >При этом в том же aws работают миллионы му...ой, mysql'ей (тоже не в васян-конфигурациях все, поди) - и что-то я не слышал чтоб хоть хоть с одного вытащили или пошифровали данные.

    Оно и понятно. Кто ж в здравом уме будет хранить какие-то ценные данные в MySQL, да ещё и в таком количестве? Васянский форум на phpBB — вот потолок этой «системы» «управления» «базами» «данных». Экономическую целесообразность шифрования форума можешь сам прикинуть.

     
     
  • 5.60, пох (?), 07:19, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кто ж в здравом уме будет хранить какие-то ценные данные в MySQL, да ещё и в таком количестве?

    и как мы до вас, хипстоты, жили, ума не приложу?

    второй после гугля в России собиральщик личных данных, например, успешно получился (настолько успешно, что гугль дважды пытался купить) - до рождения ман..монги в принципе. С тех пор возможности железа "немножечко" выросли. Раз этак самое малое в десять.

    А ты васян, меньше читай мусорных постов в реддите, больше читай умные книжки - да-да, с 70х годов в области баз данных "открытий" не сделали, только выдавали хорошо забытое старое за них, авось и наймешься на работу куда-нить получше своего форума на phpbb, кроме которого явно ничего в глаза не видел - и узнаешь, что, внезапно, монга тут совсем необязательна, и нужна совсем для других вещей (была, поскольку при нынешней лицензии ну ее нафиг).

     
     
  • 6.73, RusCheat (?), 14:59, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    он хотел сказать, что ценные данные хранят в ORACLE/MSSQL/PostgreSQL
     
     
  • 7.75, пох (?), 18:58, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    хнык-хнык... ты себе хорошо представляешь заварушку с _облачным_ oracle ?

    это такое... теоретически оно есть, а практически поддержание даже слабораспределенного ораклового кластера вызывает желание купить билет в любую страну, не связанную обязательствами выдачи преступников, "и хрен вы меня найдете!"

    Остальные в списке я бы посортировал как postgres/mysql/mssql в сторону уменьшения желания либо бежать в другую страну, либо повеситься в сортире когда "оно вот, опять!" (абстрагируясь от реальной возможности запихать одну и ту же бизнес-логику во все четыре)

    С ораклом on premises ты хотя бы можешь спасаться наращиванием мощности сервера, но если у тебя уже архитектура где-то там в чужих облачках парит - вряд ли тебе понравится rtt 100 при каждом обращении к базе, поэтому пользовать будешь то что дадут поближе к твоим подам.


     
  • 2.51, Аноним (51), 22:21, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Просто тут по умолчанию открыто все что можно. Если в какой-нибудь MariaDB нужно попариться, чтоб включить какой-то внешний доступ, то здесь нужно попарится чтоб его выключить =)
     
     
  • 3.62, пох (?), 07:24, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не, совершенно не нужно - стек, копи-пасть, хрясь - доступ закрылся, перезапускаем прод, потому что он накрылся для всех, элементов кластера в том числе, и теперь только перезагрузка позволит вернуть управление. Сравнение c mysql (с его современными видами auth plugins) - задача на дом.

    тут уже один девляпс брался меня учить как это легко и просто - если его инструкцию буквально выполнить - результат именно такой.

    поэтому по умолчанию и открыто - ниасилено сделать умолчательное "закрыто" так, чтоб оно работало для всех из коробки.

     

  • 1.9, Анимайзер (?), 11:03, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > из-за ненадлежащих настроек доступа СУБД MongoDB оказались выставлены сведения о 275 млн жителей Индии

    Тревожная новость и заставляет задуматься. Эта проблема ещё 20 лет назад была неактуальна так, как сейчас в нынешний век интернета вещей, компьютеризации и цифровизации всего и вся. Но что сделать и как свести к минимуму такие оплошности и взломы БД с данными ничего не подозревающих граждан, которые даже об этом не задумываются и не представляют, что их персональными данными уже торгуют на чёрном рынке? Человеческий фактор был, есть и будет. Выгнать всех людей и доверить настройку и дальнейшее обслуживание обученному искусственному интеллекту?

     
     
  • 2.12, OpenEcho (?), 11:31, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >с данными ничего не подозревающих граждан, которые даже об этом не задумываются

    Вот именно в этом  и есть вся проблема.
    Люди ленивы и жадны. Если бы все просто читали privacy policy & terms of use то не было бы ни гугли не мордакнижке. Если бы люди понимали простую старую истину что бесплатный сыр бывает только в мышеловках, то не было бы такого глобального надзора не только от гос.структур a также от массы житрожопых

     
  • 2.18, developer (??), 12:36, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    просто наказание несоизмеримо с выгодой/убытком. Рубить обе руки или голову. Никаких сроков за счет налогоплательщиков. Сразу будет мотивировать не заниматься этим.
     
     
  • 3.46, Аноним (45), 19:04, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В логах написано, что это ты сперва накосячил с настройкой, а потом увёл данные и продавал их на чёрном рынке. Давай сюда обе руки и голову.
     
     
  • 4.70, индийский менеджер (?), 11:08, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    почку. На его голову спроса на рынке - никакого.

     
  • 2.22, Аноним (22), 13:02, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >обслуживание обученному искусственному интеллекту

    для которого алгоритмы пишут люди... Продолжай дальше верить в ИИ.

     

  • 1.11, СеменСеменыч777 (?), 11:16, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    можно выбрать из базы программистов и хантить их напрямую, не обращаясь к бодишопам.
     
     
  • 2.21, Аноним (20), 13:02, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    что-то мне подсказывает, что это и есть база программистов.
     

  • 1.35, Онаним (?), 17:16, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пора бы уже писать не "через MongoBD", а "через девляпсов".
     
     
  • 2.40, пох (?), 18:09, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да нет, тут, к сожалению, именно манд...да что ж такое-то...руки сами набирают.
    в общем вот такая db. От dbлов для dbлов.

    девляпсам она тоже очень нравится, ну они вообще как ворона, все блестящее тащат - "то гильзу принесёт стреляную, то царскую монету с нацарапанным потайным словом, то ключ, на головку которого разноцветные нити намотаны. Однажды даже чей-то палец с обручальным кольцом..."

    А разработчикам тоже все равно - они ни в sql не умеют, ни в что другое - какая разница, что копипастить со стековерфлоу. Ну и модные заклинания про "шардинг", тимлиды любят, тут, недавно, в комментах один выступал.

     
     
  • 3.55, Онаним (?), 23:18, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > девляпсам она тоже очень нравится, ну они вообще как ворона, все блестящее
    > тащат - "то гильзу принесёт стреляную, то царскую монету с нацарапанным
    > потайным словом, то ключ, на головку которого разноцветные нити намотаны. Однажды
    > даже чей-то палец с обручальным кольцом..."

    Записал себе вмемориз, спасибо :)


     
     
  • 4.56, Онаним (?), 23:20, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Помню, что это вроде из народного творчества на тему простоквашина, но могу ошибаться.
     
     
  • 5.63, пох (?), 07:28, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Большой Дом".

    жаль что автор к середине скурвился и вместо пародии свалился в бредовую борьбу бобра со злом (очень ненатурально выглядящую в мире, где Малый Ключ - книжка для повседневного чтения)

     

  • 1.37, Аноним (37), 17:53, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >База включает в себя такие сведения как ФИО, email, номер телефона, дата рождения, данные об образовании и профессиональных навыках, историю трудоустройства, информацию о текущей работе и зарплате.

    Неужели AADHAAR ID и биометрических данных нет?

     
  • 1.48, Викентий (?), 20:24, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    О 275 млн. жителей Индии? Хэдхантеры сумеют заработать на отлове индусских кодеров.
     
  • 1.50, Айран (?), 22:09, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/

    по ссылке  на интересно читать про последовательность событий:
    "1 мая я обнаружил незащищенную"
    "данные, вероятно, были собраны анонимным лицом или организацией в рамках масштабной операции очистки:"
    "проиндексирован 23 апреля 2019 года."
    "Я немедленно уведомил индийскую команду CERT об этом инциденте, однако база данных оставалась открытой и доступной для поиска до сегодняшнего дня, 8 мая, когда ее взломали хакеры, известные как группа «Unistellar»"
    либо индийская CERT не смогла найти хозяина базы за 8 дней либо у них майские праздники, либо владельцу было пофиг
     
     
  • 2.69, 1 (??), 10:42, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хакиры украли коллектор у хакиров
     

  • 1.52, Аноним (52), 22:41, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Индии

    Арара уруру, почему же почему не работает система крот? Внедряемся?!

     
  • 1.59, Gannet (ok), 00:56, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Неужели кто-то действительно считает, что проблема в БД?

    >неизвестные злоумышленники зашифровали имеющиеся данные и стали требовать у владельца выкуп за расшифровку.

    Интересно, сколько потребовали: пару-тройку долларов наверное.

     
     
  • 2.64, пох (?), 07:30, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, я считаю что проблема в bd с пришитой сбоку бантиком кривой авторизацией.
    То что индусские девляпсы ниасилили ее защитить другими, внешними средствами - это отдельная история.

     
     
  • 3.72, anonymous (??), 13:18, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Постоянно вижу этот термин "девляпсы", но не очень его понимаю. Речь про DevOps? Если да, то про любых, или только криворуких? Что вообще вкладывается в этот термин?
     
     
  • 4.74, Аноним (74), 16:17, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Речь про DevOps?

    Oops! I did it again.

     
     
  • 5.77, пох (?), 20:33, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    I devoped it again! ;-)

     
  • 4.78, пох (?), 20:51, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    речь о том что они в силу профессииональных требований криворуки почти по определению. У этих людей навыков администрирования обычно не бывает, они вообще больше от разработки идут чем от админов.
    > Что вообще вкладывается в этот термин?

    вот та фигня, что, по идее, спроектировала этот монговский кластер, под какую-то завязанную на облачно-мамазонскую инфраструктуру... а на практике "быстро, запилил нам монгу, объем такой-то (underestimated в 200 раз), территориальная распределенность чтоб rtt был 2, в крайнем случае 2.2, шардинг нам пофиг но чтоб работало, с каких инстансов будем ходить и как сами пока не знаем, и чтоб вчера было готово! И для девелоперов отдельный снапшот раз в день делай! Образ - вон тот с докерхаба возьмешь".

    пряморукий и не пойдет в такое, и быстро пряморуким быть перестанет, потому что некогда читать и разбираться, надо было вчера.

    А если ты на все это глядишь, чертыхаешься, и говоришь "ладно, будет вам ваша монга - в изолированной сети, условия нашей облачной поделки позволяют такую и такую, я померяю и скажу, какую выберем, ходить будете на такие вот адреса вот таким образом, нет, не колебет что вам надо код переделать, ИБ другое не одобрит" - то все нормально, ты обычный админ. Но чаще всего подобная должность в этих проектах не предусмотрена.

     

  • 1.68, Нанобот (ok), 10:37, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >I have immediately notified Indian CERT team on the incident

    это такой индийский аналог спортлото?

     
  • 1.79, Аноним (-), 05:42, 17/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вывод очевиден: централизованные сервисы - это хрень полная. Всё должно быть децентрализовано.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Fornex
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру