Un hacker éthique découvre d'autres bases MongoDB non protégées
Publié par Ariane Beky le | Mis à jour le
Un chercheur découvre lors d'une intervention autour du hacking éthique des bases de données MongoDB en libre accès sur Internet, exposées aux violations de données.
Le chercheur en sécurité Sijmen Ruwhof explique dans un billet de blog daté du 13 mai avoir découvert fortuitement une base de données MongoDB non protégée. Et ce lors d'une intervention autour du hacking éthique à l'université de sciences appliquées Windesheim, aux Pays-Bas. La base appartenait, à première vue, à l'industriel anglo-néerlandais Unilever. Les headers HTTP ont été étudiés et une recherche à l'aide du moteur Shodan effectuée dans la foulée.
En libre accès sur Internet
Le chercheur dit avoir poursuivi ses recherches durant une quinzaine de jours après son intervention. Il a constaté que la base MongoDB en question n'appartenait pas à Unilever, mais à Savvy Congress, un fournisseur néerlandais de logiciels de collaboration en temps réel.
De plus, ce n'est pas un seul serveur MongoDB qui était ainsi exposé, mais treize, dont onze appartenant au fournisseur concerné. Ces bases de données n'étaient pas protégées par un mot de passe et restaient librement accessibles sur Internet. Elles étaient, comme de nombreuses autres, exposées à de potentielles violations de données. La faute à l'entreprise ?
Contactée par le chercheur, celle-ci aurait déclaré que les serveurs en question faisaient partie d'un ancien cluster de développement. Ils ont été sécurisés depuis, semble-t-il.
Lire aussi :
Télégrammes : Illimité sur demande pour OneDrive Business, MongoDB peu sécurisé.
Big Data : les technologies sont déployées, mais pas sécurisées