Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 16/12/2015
Mindst 35.000 databaser af typen MongoDB kan nås af alle brugere på internettet uden at kræve password. En sikkerhedsforsker fandt data om 13 millioner brugere af et Mac-program i en database.Chris Vickery søgte i søgesystemet Shodan efter åbne MongoDB-databaser. Han fandt en, der opbevarede data om 13 millioner personer inklusive brugernavne og passwords. Databasen viste sig at handle om brugere af programmet MacKeeper, som firmaet Kromtech udvikler.
Han kontaktede Kromtech, der lukkede for den offentlige adgang og takkede ham i deres blog.
Men der er mange flere databaser, der er lige så åbne. John Matherly fra Shodan har med en søgning fundet over 35.000 åbne MongoDB-databaser.
Han hæfter sig ved, at over 4.000 af dem kører version 3. Fra og med den version er programmet som standard sat til ikke at kommunikere med internettet. Her har administratorerne altså med vilje ændret på opsætningen for at gøre databasen tilgængelig fra nettet.
Anbefaling
Følg sikkerhedsanbefalingerne fra MongoDB for at undgå risiko for datalækager.