Il y a sur Internet au moins 35 000 bases de données MongoDB publiquement accessibles et vulnérables et il semble que leur nombre s’accroît encore. Combinées, elles exposent 684,8 téraoctets de données à de potentiels vols. C’est le résultat d’une recherche lancée ces jours derniers par John Matherly, le créateur du moteur de recherche Shodan qui permet de trouver les différents équipements connectés à Internet. Celui-ci avait déjà donné l’alerte en juillet dernier sur ce problème lorsqu’il avait découvert près de 30 000 instances MongoDB non authentifiées. Il a décidé de renouveler son exploration lorsque le chercheur en sécurité Chris Vickery a indiqué avoir trouvé que des informations exposées dans de telles bases, associées à 25 millions de comptes d’utilisateurs venant de diverses apps et services, incluant les 13 millions de comptes du programme d’optimisation pour OS X MacKeeper.
Les derniers résultats obtenus par John Matherly montrent une augmentation de 5 000 instances non sécurisées de MongoDB depuis juillet. C'est un peu surprenant dans la mesure où les nouvelles versions de la base n’ont plus cette configuration précaire par défaut. Pour l’accès à la base de données, les versions 3.0 de MongoDB et les suivantes ne prennent en compte que les connexions localhost et n’acceptent donc pas les connexions distantes venant d’Internet. Pourtant, la version 3.0.7 est celle à laquelle sont associées le plus grand nombre d’installations (3 010) découvertes par John Matherly et la 3.0.6 figure aussi dans les 5 versions les plus touchées avec 1 256 instances.
Redis, CouchDB, Cassandra ou Riak également concernées
Le nombre important d’occurrences de MongoDB 3.0 trouvé par le créateur de Shodan signifie que beaucoup de gens modifient la configuration par défaut de la base en passant à un mode moins sécurisé et qu’ils ne mettent pas en place de pare-feu pour protéger leurs bases, souligne John Matherly sur son blog. C'est peut-être parce que ceux qui mettent à jour leurs instances continuent à utiliser leurs fichiers de configuration non sécurisées, avance-t-il comme explication. La majorité des instances vulnérables sont hébergées sur les plateformes cloud des fournisseurs DigitalOcean, Amazon.com et Alibaba.
Si les informations rapportées par Chris Vickery sur les comptes clients de MacKeeper - exposant des données telles que noms, adresses e-mail, dates de naissance, adresses postales, messages privés et mots de passe non sécurisés – sont représentatives de ce que l’on peut trouver dans les autres bases exposées, alors le problème est très sérieux et il n’est pas seulement limité à MongoDB. « Je n’insisterai jamais assez sur le fait que ce problème ne concerne pas seulement MongoDB : Redis, CouchDB, Cassandra et Riak sont touchées de la même façon par ce type de configurations inadéquates », pointe en substance John Matherly.