Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

MongoDB : 202 millions de CV privés exposés sur internet
à cause d'une base de données non protégée

Le , par Ludovic Barry

261PARTAGES

14  0 
En septembre 2018, Andreas Nilsson, directeur de produit de sécurité chez MongoDB a publié dans un billet ce que doivent faire les administrateurs pour éviter de compromettre leurs données sur internet : « Ces attaques peuvent être évitées grâce aux nombreuses protections de sécurité intégrées à MongoDB. Vous devez utiliser ces fonctionnalités correctement et notre documentation de sécurité vous aidera à le faire ». Bob Diachenko, chercheur indépendant en cybersécurité, directeur de la recherche sur les cyber-risques chez Hacken.io et de la plateforme de bug bounty HackenProof avait découvert une base de données clients vulnérable contenant 11 millions d'enregistrements avec des informations personnelles telles que l’email, le nom complet, le sexe, l’adresse physique (code postal, état, ville de résidence).

Cette fois, Bob Diachenko après une analyse de flux de données MongoDB du moteur de recherche BinaryEdge a découvert une instance de MongoDB ouverte et non protégée. Comme cela ne suffisait pas, l'adresse IP de la machine se trouvait également sur Shodan, un site web spécialisé dans la recherche utilisé par des chercheurs en sécurité et des pirates pour rechercher des dispositifs mal sécurisés et en prendre le contrôle à l'aide d'un seul navigateur Web.


La base de données MongoDB de 854 Go ainsi trouvée sans surveillance et sans authentification par mot de passe donnait accès à 202 730 434 CV de demandeurs d'emploi chinois avec des détails non seulement sur les compétences et l'expérience de travail des candidats, mais également sur leurs informations personnelles, telles que numéro de téléphone portable, courrier électronique, mariage, enfants, politique, taille, poids, permis de conduire, niveau d'alphabétisation, salaire attendu et plus. À vu d'oeil, ces informations représentent une mine d'or pour les cybercriminels, qui peuvent l'utiliser pour augmenter le taux de réussite de leurs campagnes de phishing.

Selon Bob Diachenko, l'origine des données est restée inconnue jusqu'à une correspondance des modèles structurels de la base de données avec celle d'une application permettant l'extraction des CV. L'outil appelé « data-import » semble avoir été créé pour extraire des données (CV) de différentes annonces chinoises, telles que bj.58.com et autres. Quant à la légalité de l'outil, aucun résultat vraiment concluant.

Toutefois, l'équipe de sécurité de BJ.58.com a affirmé : « Nous avons effectué des recherches dans notre base de données et avons examiné tous les autres systèmes de stockage. Il s'est avéré que les échantillons de données ne nous appartiennent pas. »

Néanmoins, après la notification sur Twitter de Diachenko, la base de données a été sécurisée. Cependant, il est important de souligner que le journal MongoDB indiquait au moins une douzaine d'adresses IP qui auraient pu accéder aux données de ladite base de données.

Enfin, toujours selon Diachenko, il n’existe aucune confirmation officielle du propriétaire des données.

Source : Blog Hackenproof

Et vous ?

Qu’en pensez-vous de cette découverte ?
MongoDB ne devrait-il pas revoir sa sécurité sur internet ?

Voir aussi

11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité.
MongoDB : comment éviter les attaques qui prennent en otage vos données ? Un billet de l'entreprise pour essayer d'endiguer ce phénomène.
Une violation de données coûterait environ 3,86 millions $ US par entreprise et par an, selon une étude de Ponemon Institute pour IBM Security
.

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de matthius
Membre éprouvé https://www.developpez.com
Le 11/01/2019 à 21:52
Shodan sert à scruter les objets connectés, pas que les sites web. J'ai vu que les données que je voyais sur youtube permettaient d'afficher des pubs sur facebook sans que facebook n'eût su cela. C'est donc que toutes les données de navigation sont centralisées, ce que shodan.io confirme.
0  0