Il ricercatore John Matherly ha identificato quasi 600 Terabyte memorizzati in database basati su MongoDB accessibili on-line da chiunque e senza autenticazione, un problema noto già 3 anni fa e dovuto a una configurazione di default troppo permissiva.
MongoDB è un database di tipo NoSQL piuttosto popolare, usato da società di primaria importanza attive in rete come eBay, Foursquare e The New York Times; le versioni vulnerabili del software sono prive dell’opzione bind_ip 127.0.0.1
nel file di configurazione mongodb.conf
, fatto che in sostanza permette di accedere ai database in chiaro mettendosi in ascolto sul localhost
.
Matherly ha individuato la bellezza di circa 30.000 istanze di database MongoDB vulnerabili, per un totale di 595,2 Terabyte di dati esposti su Internet senza alcuna forma di autenticazione. A peggiorare le cose vi sarebbe il fatto che la configurazione insicura di MongoDB era già stata denunciata nel febbraio del 2012, e solo le ultime versioni del database NoSQL hanno corretto il problema.
La maggior parte degli utenti di MongoDB usano ancora le vecchie versioni del software, release come la 2.4.9, la 2.4.10 e la 2.6.7, mentre la versione più recente è la 3.0.3. Particolarmente a rischio risultano poi le istanze NoSQL installate sui server Cloud, uno scenario in cui la tendenza dominante sembrerebbe essere quella di utilizzare immagini non aggiornate e quindi potenzialmente a rischio.
Via | The Register