Le chercheur en sécurité Sijmen Ruwhof explique dans un billet de blog daté du 13 mai avoir découvert fortuitement une base de données MongoDB non protégée. Et ce lors d’une intervention autour du hacking éthique à l’université de sciences appliquées Windesheim, aux Pays-Bas. La base appartenait, à première vue, à l’industriel anglo-néerlandais Unilever. Les headers HTTP ont été étudiés et une recherche à l’aide du moteur Shodan effectuée dans la foulée.
Le chercheur dit avoir poursuivi ses recherches durant une quinzaine de jours après son intervention. Il a constaté que la base MongoDB en question n’appartenait pas à Unilever, mais à Savvy Congress, un fournisseur néerlandais de logiciels de collaboration en temps réel.
De plus, ce n’est pas un seul serveur MongoDB qui était ainsi exposé, mais treize, dont onze appartenant au fournisseur concerné. Ces bases de données n’étaient pas protégées par un mot de passe et restaient librement accessibles sur Internet… Elles étaient, comme de nombreuses autres, exposées à de potentielles violations de données. La faute à l’entreprise ?
Contactée par le chercheur, celle-ci aurait déclaré que les serveurs en question faisaient partie d’un ancien cluster de développement. Ils ont été sécurisés depuis, semble-t-il.
Lire aussi :
Télégrammes : Illimité sur demande pour OneDrive Business, MongoDB peu sécurisé…
Big Data : les technologies sont déployées, mais pas sécurisées
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…