Une base de données MongoDB mal configurée au niveau de la sécurité expose les données de plus de 2,3 millions de patients au Mexique.
Cette faille de sécurité a été découverte par le chercheur Bob Diachenko via Shodan (moteur de recherche qui balaye massivement les ports sur Internet, voir plus). Une fois la faille détectée (on pouvait accéder à la base sans avoir besoin de s’authentifier), il a contacté les personnes appropriées qui ont fait les corrections nécessaires. Il a ensuite publié un article sur LinkedIn faisant part de sa découverte. Néanmoins, certaines questions restent pour l’heure sans réponse :
- Depuis combien de temps ces données sont-elles en libre accès ?
- Des personnes ont-elles pu y accéder ? Voire même modifier les données ?
Les données qui étaient en libre accès (lecture/modification) seraient du type :
- Nom
- Adresse
- Date de naissance
- Numéro de police d’assurance
- Numéro CURP unique (explications sur cet identifiant)
- Handicap(s)
- Statut de migrant ou non
Ce type d’incident n’est pas inédit ; en effet il y avait déjà eu par le passé des problèmes similaires avec les bases MongoDB (lire notre article traitant de ce point). Avant, les bases MongoDB étaient par défaut accessibles sans mot de passe et depuis le réseau. En conséquence si le serveur est connecté à Internet il s’agissait d’une faille critique de sécurité. Il existe bien évidemment sous MongoDB un système d’authentification, des mécanismes/bonnes pratiques de sécurité, mais certains DBAs passent malheureusement outre. Depuis la 3.6, on ne peut accéder à la base que depuis l’ordinateur ou le serveur en local par défaut (lire l’article détaillant les différentes mesures de sécurité prises dans la version 3.6) ce qui amène plus de sécurité.
Vous souhaitez savoir si vos bases MongoDB sont susceptibles d’être vulnérables ?
Vous voulez renforcer la sécurité de vos données ?