mongoDB est une base de données utilisée dans les développements à Gilles de style djeun’s. La sécurité n’étant pas le fort des générations Y ou Z, de nombreuses fuites de données ont été relatées dans la presse plus ou moins spécialisée.
Fort de ce constat, je me suis demandé si c’était si difficile que ça de sécuriser cette base de données, sachant que la plupart du temps les fuites de données constatées ne sont dues qu’à la méconnaissance et de la paresse du développeur. En 2017, on dénombrait 60 000 bases MongoDB accessibles sur Internet1, dont 70 % sans authentification ! Le résultat va de la fuite de données à l’extorsion1.
En 2018, toujours autant de paresse à corriger ces problèmes, dont les premières alertes2 remontent pourtant à 2015 !
- https://www.digitalocean.com/community/tutorials/how-to-securely-configure-a-production-mongodb-server
- https://docs.mongodb.com/v3.0/administration/security-checklist/
- https://docs.mongodb.com/v3.0/administration/security/
- http://blog.mongodb.org/post/86408399868/mongodb-security-part-1-design-and-configuration
Quelques exemples
Les bases MongoDB mal configurées sont légions, disais-je.
- Abbyy, un fournisseur de solution de reconnaissance de caractères (OCR), a laissé plus de 200 000 scans de documents3 parfois très confidentiels. Il se trouve qu’il s’agissait d’une instance hébergée chez AWS4. L’informatique, c’est un métier. La sécurité aussi ;
- Une base gérée par une société mexicaine et contenant des informations médicales de 2 millions de patients5 fut exposée en clair et sans mot de passe (la bourde classique sur MongoDB) en août 2018 ;
- 200 Go et 445 millions d’enregistrements exposés par Veeam6, une société proposant des services pour infrastructures informatiques (dont des sauvegardes), sur une instance MongoDB hébergée chez AWS (septembre 2018).
- Les informations de 700 000 clients d’Amex India (American Express) étaient accessibles en clair7.
- 66 millions d’informations d’utilisateurs LinkedIn repérés en décembre 20188.
- Février 2019 : La banque indienne SBI laisse une base opérationnelle sans aucune protection9.
- Avril 2019 : https://www.cpomagazine.com/cyber-security/largest-leak-in-history-email-data-breach-exposes-over-two-billion-personal-records/
- Mai 2019 : 12 000 bases effacées par un petit malin10.
- Juin 2019 : des ordonnances de 78 000 patients en libre-service11.
- Juillet 2019 : maintenant que le RGPD est bien dans les esprits, les déclarations de fuite d’info prolifèrent. Une base de données contenant 188 millions d’enregistrements12 (= de personnes) a été publiée sur GitHub et indexée. Elle contenait les profils de réseaux sociaux, la religion de la personne, etc.
- Septembre 2019 : une spéciale ! Les auteurs du malware Gootkit sont comme les autres développeurs : ils font des erreurs. Leur base de « clients » (= victimes) s’est retrouvée disponible13 sans mot de passe.
Voir aussi
- ElasticSearch
- https://webassets.mongodb.com/_com_assets/collateral/MongoDB_Security_Architecture_WP.pdf