Des Milliers de Bases de Données MongoDB Exposées en Ligne
L’année 2017 a commencé avec le vol et la suppression possible de milliers de bases de données MongoDB contenant des données personnelles et réglementées de l’Internet. Des extorqueurs ont remplacé les bases de données par des notes de rançon exigeant un paiement pour la restauration des fichiers. En quelques jours, le nombre de bases de données détournées est passé de centaines à des milliers et a dépassé les 32 000 au 11 janvier.
MongoDB est une plateforme de base de données NoSQL open-source gratuite largement utilisée par de nombreuses entreprises dans le monde entier pour stocker leurs données en ligne.
Bien que la nouvelle puisse être choquante, le problème avec MongoDB est bien connu. Les chercheurs ont découvert le problème il y a quelques années, découvrant qu’il est facile de mal configurer la base de données et de laisser les données exposées en ligne, ce qui permet à tout attaquant distant d’accéder à la base de données sans utiliser de logiciel de piratage particulier. Par exemple, la configuration par défaut de MongoDB permet à tout utilisateur d’avoir un accès complet à la base de données, c’est-à-dire non seulement de la consulter et de la télécharger, mais aussi de la réécrire et de la supprimer. Au fil des années, plusieurs grandes entreprises (Verizon Enterprise, MacKeeper, Kreditech, etc.) ont accidentellement publié des données personnelles de leurs clients via des bases de données MongoDB mal configurées.
Cette fois, les installations MongoDB non protégées par mot de passe sont ciblées. Les organisations qui ont laissé leurs bases de données MongoDB dans la configuration par défaut ont permis à leurs bases de données d’être accessibles sans besoin de noms d’utilisateur, de mots de passe ou de toute authentification.
Cette vulnérabilité affecte les organisations qui utilisent des versions anciennes du programme. Dans ses versions précédentes, MongoDB avait un accès à distance non restreint activé par défaut. Depuis la version 3.0, l’accès à distance est désactivé par défaut. Mais de nombreuses organisations utilisent encore des versions anciennes ou ne se sont pas souciées de changer leurs paramètres de configuration après avoir installé la nouvelle version, ce qui laisse l’accès aux données non restreint activé et non remarqué.
Parmi les victimes confrontées au problème, figurent deux prestataires de soins de santé américains. Leurs bases de données sont détenues contre rançon avec les dossiers médicaux de milliers de patients bloqués. Les bases de données contiennent des informations telles que les noms des patients, les adresses e-mail, les adresses domiciliaires et des détails hautement sensibles sur les conditions médicales des patients.
Les entreprises qui utilisent des bases de données MongoDB devraient s’assurer que leurs paramètres de sécurité sont mis à jour pour empêcher l’accès à distance par des utilisateurs non autorisés. Vu le nombre de bases de données déjà attaquées, ne pas le faire peut entraîner une violation ou une suppression permanente des données. On estime qu’il y a plus de 99 000 organisations qui ont potentiellement des bases de données MongoDB mal configurées et qui sont donc à risque.
Quelles leçons tirer de tout cela? Nous proposons plusieurs étapes cruciales que les entreprises devraient suivre pour protéger leurs bases de données. Si l’une de ces étapes avait été appliquée à temps, la situation décrite ci-dessus aurait pu être évitée avec succès.
Sécuriser au Maximum votre Base de Données
Les paramètres par défaut ne suffisent pas. Le logiciel de base de données doit être mis à jour en temps opportun et les services et fonctions par défaut non nécessaires doivent être désactivés ou supprimés. Les DBA doivent également s’occuper de faire des sauvegardes.
Imposer une Authentification Sécurisée à la Base de Données
Permettre uniquement aux utilisateurs autorisés d’accéder à la base de données est une étape de base pour assurer la protection des données. Des mots de passe forts sont indispensables.
Utiliser un Pare-feu de Base de Données
Le DAF est un outil essentiel conçu pour protéger les données. Placer le serveur de la base de données derrière un pare-feu avec des règles de sécurité refusant le trafic suspect et ne permettant pas un accès direct des clients permet de sécuriser les données.
Configurer le Pare-feu du Système
Les administrateurs système sont vivement recommandés d’utiliser des pare-feu système (par exemple, Netfilter, Ashampoo Firewall, Comodo Firewall, etc.) et de les configurer pour fermer les ports sur les interfaces publiques.
Si vous souhaitez protéger pleinement vos bases de données MongoDB, utilisez les outils suivants de DataSunrise:
