Un hacker tombe par hasard sur des bases MongoDB non protégées

Un chercheur découvre lors d’une intervention autour du hacking éthique des bases de données MongoDB en libre accès sur Internet, exposées aux violations de données.

Le chercheur en sécurité Sijmen Ruwhof explique dans un billet de blog daté du 13 mai avoir découvert fortuitement une base de données MongoDB non protégée. Et ce lors d’une intervention autour du hacking éthique à l’université de sciences appliquées Windesheim, aux Pays-Bas. La base appartenait, à première vue, à l’industriel anglo-néerlandais Unilever. Les headers HTTP ont été étudiés et une recherche à l’aide du moteur Shodan effectuée dans la foulée.

En libre accès sur Internet

Le chercheur dit avoir poursuivi ses recherches durant une quinzaine de jours après son intervention. Il a constaté que la base MongoDB en question n’appartenait pas à Unilever, mais à Savvy Congress, un fournisseur néerlandais de logiciels de collaboration en temps réel.

De plus, ce n’est pas un seul serveur MongoDB qui était ainsi exposé, mais treize, dont onze appartenant au fournisseur concerné. Ces bases de données n’étaient pas protégées par un mot de passe et restaient librement accessibles sur Internet… Elles étaient, comme de nombreuses autres, exposées à de potentielles violations de données. La faute à l’entreprise ?

Contactée par le chercheur, celle-ci aurait déclaré que les serveurs en question faisaient partie d’un ancien cluster de développement. Ils ont été sécurisés depuis, semble-t-il.

Lire aussi :

Télégrammes : Illimité sur demande pour OneDrive Business, MongoDB peu sécurisé…
Big Data : les technologies sont déployées, mais pas sécurisées

crédit photo ©Imilian / Shutterstock.com