Administradores de MongoDB han expuesto algunos 595,2 terabytes de datos mediante el uso de configuraciones pobres o versiones des actualizadas de MongoDB.
John Matherly, el creador de Shodan, el buscador maravilloso para los dispositivos conectados, reveló que muchos administradores de MongoDB han expuesto tanto como 595,2 terabytes de datos mediante el uso de malas configuraciones o versiones sin parches del MongoDB.
MongoDB es una alternativa popular a SQL, de código abierto, muchas empresas ya lo utilizan, incluyendo "The New York Times", "Ebay", y "Foursquare". John Matherly sostiene que alrededor de 30.000 bases de datos están expuestas porque los administradores están utilizando versiones antiguas de MongoDB.
La última versión de MongoDB es 3.0.4, pero hasta la versión 2.4.14 MongoDB seguía escuchando 0.0.0.0 de forma predeterminada.
Este es un problema conocido desde 2012, cuando Romano Shtylman planteó el problema, y en el momento Shtylman dio cuenta de que era un error crítico porque MongoDB estaba siendo enviado sin autenticación.
Llegó a la conclusión de que la mayor parte de la base de datos expuestos se están ejecutando en la nube, hospedado en Amazon, Digital Ocean o servicios similares, "Mi conjetura es que la nube imágenes no se actualizan con frecuencia, lo que se traduce en gente desplegando versiones antiguas e inseguras de software ".
No es la primera vez que la industria de la seguridad está preocupada por la seguridad de MongoDB, en febrero 2015 se encontraron cerca de 40.000 entidades que ejecutan MongoDB vulnerables a ataques cibernéticos.
John Matherly, el creador de Shodan, el buscador maravilloso para los dispositivos conectados, reveló que muchos administradores de MongoDB han expuesto tanto como 595,2 terabytes de datos mediante el uso de malas configuraciones o versiones sin parches del MongoDB.
MongoDB es una alternativa popular a SQL, de código abierto, muchas empresas ya lo utilizan, incluyendo "The New York Times", "Ebay", y "Foursquare". John Matherly sostiene que alrededor de 30.000 bases de datos están expuestas porque los administradores están utilizando versiones antiguas de MongoDB.
"Hay un total de 595,2 TB de datos expuestos en Internet a través de las instancias MongoDB de acceso público que no tienen ningún tipo de autenticación"
La última versión de MongoDB es 3.0.4, pero hasta la versión 2.4.14 MongoDB seguía escuchando 0.0.0.0 de forma predeterminada.
Este es un problema conocido desde 2012, cuando Romano Shtylman planteó el problema, y en el momento Shtylman dio cuenta de que era un error crítico porque MongoDB estaba siendo enviado sin autenticación.
Shtylman dijo "[Las versiones afectadas] no tienen una opción de 'bind_ip 127.0.0.1' declarada en el mongodb.conf. Esto deja el servidor de un usuario vulnerable si no son conscientes de este ajuste. El valor por defecto debe ser asegurado tanto como sea posible y sólo expuesto si el usuario lo solicita."Shtylman añadió que las versiones anteriores a 2.6 pueden tener el problema también.
Llegó a la conclusión de que la mayor parte de la base de datos expuestos se están ejecutando en la nube, hospedado en Amazon, Digital Ocean o servicios similares, "Mi conjetura es que la nube imágenes no se actualizan con frecuencia, lo que se traduce en gente desplegando versiones antiguas e inseguras de software ".
No es la primera vez que la industria de la seguridad está preocupada por la seguridad de MongoDB, en febrero 2015 se encontraron cerca de 40.000 entidades que ejecutan MongoDB vulnerables a ataques cibernéticos.
