MongoDB, un système de gestion de bases de données (SGBD) orienté documents, NOSQL, en code source ouvert, et souvent utilisé pour les données massives, est massivement attaqué.
D’après les statistiques de DB-engines.com, c’est même le quatrième SGBD le plus populaire dans le monde, toute catégorie confondue, derrière Oracle, MySQL et Microsoft SQL Server.
Près de 100 000 installations MongoDB seraient exposées à ce jour d’après Victor Gevers, un pirate éthique de la GDI Foundation, une organisation à but non lucratif.
Les premiers cas se sont produits au début de l’année, avec près de 2 000 installations bloquées par un rançongiciel de l’attaquant ‘harak1r1’, exigeant le paiement d’une rançon de 0,2 bitcoin (environ 200 euros). Au moins 22 organisations auraient payé.
Depuis, d’autres attaquants se seraient mis à exiger des rançons d’un bitcoin (environ 1 000 euros), pour un total de plus de 28 000 attaques en quelques heures.
Une rançon de 50 000 $ avait été demandée à l’E-Sport Entertainment Association (ESEA). Elle a refusé de payer, du coup les informations de 1,5 million de personnes ont été divulguées par les pirates, y compris le nom, prénom, non d’utilisateur, ville, état, code postal, date de naissance, adresse de courriel, numéro de téléphone, identifiant Xbox et PSN, etc.
Les organisations attaquées sont largement responsables de la situation.
La sécurité est une faiblesse connue depuis des années de MongoDB. En 2015 déjà, 30 000 installations de MongoDB sans aucune sécurité, directement exposées à Internet, avaient été recensées.
Même si un certain nombre d’installations exposées ne sont probablement que des installations de test, on est sidéré par la désinvolture des équipes face aux risques.
Les installations exposées sont des installations dont la sécurité n’a jamais été configuré, ou incorrectement. La plupart du temps, les correctifs de sécurité sont ignorés.
On retrouve ainsi des bases de données de l’armée américaine sur ses vétéran en accès libre,