This post is also available in: enEnglish (אנגלית)

מספיק מסד נתונים אחד שהוגדר לא נכון כדי לחשוף יותר משני מיליון רשומות משתמש באפליקציית LectureNotes Learning App, פלטפורמה לשיתוף סיכומים והערות בכיתות לימוד.

בחודש דצמבר חוקרים מ-Cybernews גילו מסד נתונים של MongoDB שהוגדר בצורה שגויה השייך ל-LectureNotes, שעודכן בזמן אמת וחשף את נתוני הגישה האישיים של משתמשים ומנהלי האפליקציה.

על פי Cybernews, יותר מ-2 מיליון רשומות של משתמשים נפרצו. המידע שהודלף כלל שמות משתמש, שמות אישיים, אימיילים, סיסמאות מוצפנות, מספרי טלפון, כתובות IP, אסימוני הפעלה, ואפילו פרטי אישור של חלק מהמנהלים.

החוקרים טוענים: "דליפת אסומוני הפעלה מהווה איום חמור, ועלולה לאפשר לתוקף פוטנציאלי לגשת באופן בלתי חוקי לסשנים של משתמשים ללא צורך בסיסמאות. יתר על כן, פרטי ההרשאה של המנהלים שדלפו (הכוללים תעודות זהות וסודות) מעלים את הסיכון בכך שהם מספקים גישה לא מורשית לחשבונות פריבילגיים, מה שעלול להוביל לפעילות זדונית ולשליטה בלתי מורשית בפונקציות של הפלטפורמה".

יתר על כן, אסימוני הפעלה חשופים יכלו לשמש מחדש כדי לגשת לסשנים של המשתמש מבלי להזין את הסיסמה בפועל. תוקפי סייבר יכולים גם לנצל הרשאות ניהול שהודלפו כדי לפרוס תוכנות כופר, לבצע התקפות פישינג ולגרום לנזק משמעותי אחר.

הבעיה תוקנה יומיים לאחר שנחשפה, והחוקרים מייחסים את הדליפה למסד נתונים של MongoDB שהושאר בטעות כציבורי, ומוסיפים כי ניתן היה למנוע את כל המצב באמצעות אימות נכון ובקרות גישה.

MongoDB מאחסנת נתונים בפורמט גמיש הדומה ל-JSON והיא בחירה פופולרית כפתרון מסד נתוני NoSQL. אפשרויות ברירת המחדל של מסד הנתונים הזה לעתים קרובות בעלות תכונות אבטחה חלשות, מהן מנהלי המערכת מתעלמים לעיתים קרובות.

"כלל האצבע של מנהלי MongoDB הוא תמיד לאפשר אימות ולהבטיח שרק משתמשים מורשים יוכלו לגשת למסד הנתונים. שימוש בסיסמאות חזקות ואימות keyfile משפר את האבטחה", מציעים החוקרים, וממליצים להטמיע פתרונות ניטור כדי לזהות פעילות חריגה או אירועי אבטחה פוטנציאליים ולהגדיר התראות לאירועים חשודים לתגובה מהירה.