Las bases de datos son utilizadas por usuarios y empresas para llevar un control de todo tipo de contenidos, desde clientes y proveedores hasta stock. Dependiendo del tipo de contenido que se guarde en dichas bases de datos es vital configurarla s y protegerlas correctamente ya que, de lo contrario, es posible que la información de terceras personas incluidas en dichas bases de datos pueda verse comprometida. Os recomendamos leer nuestro tutorial sobre monitorizar conexión Internet en pfSense.
MongoDB es un software de código abierto diseñado para poder crear y gestionar bases de datos en múltiples sistemas operativos fácilmente y de forma gratuita. Por defecto, la configuración de la base de datos de MongoDB es aceptar sólo las configuraciones locales, rechazando todo intento de conexión desde fuera de dicha red local. Debido a una incorrecta configuración de estas opciones de seguridad, estas bases de datos estaban aceptando las conexiones desde fuera de la red local a través del puerto 27017.
Por este fallo en la configuración, así como un error de la mano de los administradores que no configuraron correctamente los sistemas de inicio de sesión se consiguió acceder por completo a las bases de datos sin mayor dificultad.
A través de la plataforma Shodan, 3 estudiantes buscaron servidores con el puerto 27017 abierto (puerto utilizado por defecto por las bases de datos de MongoDB) y crearon una lista con las direcciones IP correspondientes a las máquinas detectadas que, poco después, comenzaron a analizar. Casi 40.000 servidores diferentes vulnerables que, aunque no todos están abiertos al tráfico externo ni con tienen bases de datos reales (algunos son servidores trampa para evitar que los piratas ataques los servidores reales), estos estudiantes han podido encontrar información realmente interesante en algunos de aquellos que no son trampa.
Los estudiantes afirman que aprovecharon la brecha de seguridad para echar un vistazo al contenido de las bases de datos para saber qué se estaba compartiendo de forma abierta en la red. Su sorpresa llegó cuando una de las bases de datos pertenecía a un proveedor de telecomunicaciones francés y exponía los datos de más de 8 millones de clientes libremente en la red, sin ninguna protección. Los nombres, correos electrónicos, direcciones e incluso información bancaria de estos usuarios pueden ser copiados e incluso modificados al tener libre acceso a esta bases de datos.
Otro caso similar encontrado es el de un minorista alemán que ha expuesto toda la información de pago de sus más de medio millón de clientes.
Los organismos de seguridad correspondientes ya han sido notificados y se pondrán en contacto con los responsables de dichos fallos de seguridad para que puedan proteger sus bases de datos de MongoDB y, sobre todo, la información de sus clientes lo antes posible para evitar que al igual que estos estudiantes han podido tener acceso a dichas bases de datos pueda tenerlo algún usuario no autorizado con fines maliciosos.
¿Crees que los administradores de sistemas descuidan en la mayoría de las ocasiones la protección de sus bases de datos?