Le chercheur en sécurité Sijmen Ruwhof explique dans un billet de blog daté du 13 mai avoir découvert fortuitement une base de données MongoDB non protégée. Et ce lors d’une intervention autour du hacking éthique à l’université de sciences appliquées Windesheim, aux Pays-Bas. La base appartenait, à première vue, à l’industriel anglo-néerlandais Unilever. Les headers HTTP ont été étudiés et une recherche à l’aide du moteur Shodan effectuée dans la foulée.
Le chercheur dit avoir poursuivi ses recherches durant une quinzaine de jours après son intervention. Il a constaté que la base MongoDB en question n’appartenait pas à Unilever, mais à Savvy Congress, un fournisseur néerlandais de logiciels de collaboration en temps réel.
De plus, ce n’est pas un seul serveur MongoDB qui était ainsi exposé, mais treize, dont onze appartenant au fournisseur concerné. Ces bases de données n’étaient pas protégées par un mot de passe et restaient librement accessibles sur Internet… Elles étaient, comme de nombreuses autres, exposées à de potentielles violations de données. La faute à l’entreprise ?
Contactée par le chercheur, celle-ci aurait déclaré que les serveurs en question faisaient partie d’un ancien cluster de développement. Ils ont été sécurisés depuis, semble-t-il.
Lire aussi :
Télégrammes : Illimité sur demande pour OneDrive Business, MongoDB peu sécurisé…
Big Data : les technologies sont déployées, mais pas sécurisées
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…