MongoDB

mongoDB est une base de données utilisée dans les développements à Gilles de style djeun's. La sécurité n'étant pas le fort des générations Y ou Z, de nombreuses fuites de données ont été relatées dans la presse plus ou moins spécialisée.

Fort de ce constat, je me suis demandé si c'était si difficile que ça de sécuriser cette base de données, sachant que la plupart du temps les fuites de données constatées ne sont dues qu'à la méconnaissance et de la paresse du développeur. En 2017, on dénombrait 60 000 bases MongoDB accessibles sur Internet[1], dont 70 % sans authentification ! Le résultat va de la fuite de données à l'extorsion[1].

En 2018, toujours autant de paresse à corriger ces problèmes, dont les premières alertes[2] remontent pourtant à 2015 !

Quelques exemples

Les bases MongoDB mal configurées sont légions, disais-je.

  • Abbyy, un fournisseur de solution de reconnaissance de caractères (OCR), a laissé plus de 200 000 scans de documents[3] parfois très confidentiels. Il se trouve qu'il s'agissait d'une instance hébergée chez AWS[4]. L'informatique, c'est un métier. La sécurité aussi ;
  • Une base gérée par une société mexicaine et contenant des informations médicales de 2 millions de patients[5] fut exposée en clair et sans mot de passe (la bourde classique sur MongoDB) en août 2018 ;
  • 200 Go et 445 millions d'enregistrements exposés par Veeam[6], une société proposant des services pour infrastructures informatiques (dont des sauvegardes), sur une instance MongoDB hébergée chez AWS (septembre 2018).
  • Les informations de 700 000 clients d'Amex India (American Express) étaient accessibles en clair[7].
  • 66 millions d'informations d'utilisateurs LinkedIn repérés en décembre 2018[8].
  • Février 2019 : La banque indienne SBI laisse une base opérationnelle sans aucune protection[9].

Voir aussi

Références

  1. 1,0 et 1,1 « MongoDB : des bases de données mal sécurisées prises en otage », sur LeMagIT (consulté le 10 août 2018)
  2. « Près de 40 000 bases de données MongoDB ouvertes à tous », sur LeMagIT (consulté le 10 août 2018)
  3. (en) « Abbyy leaked 203,000 sensitive customer documents in server lapse », sur TechCrunch (consulté le 4 septembre 2018)
  4. (en) « ABBYY leaks over 203K client documents on MongoDB server », sur Information Security Newspaper, (consulté le 4 septembre 2018)
  5. (en) « Health Care Data of 2 Million People in Mexico Exposed Online », sur BleepingComputer (consulté le 18 septembre 2018)
  6. (en) « Data Management Firm Exposes 445 Million Records », sur BleepingComputer (consulté le 18 septembre 2018)
  7. (en) Catalin Cimpanu, « Data of nearly 700,000 Amex India customers exposed via unsecured MongoDB server », sur zdnet.com,
  8. « Unprotected MongoDB Exposes Scraped Profile Data of 66 Million », sur BleepingComputer,
  9. (en) « India’s largest bank SBI leaked account data on millions of customers »,