The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Взлом инфраструктуры MongoDB

17.12.2023 09:49

В инфраструктуре компании MongoDB, развивающей одноимённую документо-ориентированную СУБД и облачный сервис MongoDB Atlas, выявлены следы взлома. Судя по уведомлению, направленному клиентам компании, злоумышленники смогли получить доступ к некоторым корпоративным системам, на которых, среди прочего, были размещены сведения об учётных записях клиентов и контактные данные пользователей. Свидетельств, указывающих на то, что атакующие получили доступ к данным, хранимым пользователями в облачном сервисе MongoDB Atlas, на текущем этапе разбирательства не выявлено.

Вредоносная активность была обнаружена вечером 13 декабря, после чего неавторизованный доступ был пресечён и начат процесс разбора инцидента. В течение какого времени атакующие имели доступ к инфраструктуре не сообщается. Также не упоминается насколько атака затронула системы, связанные с разработкой СУБД MongoDB. Не исключено, что полученные в ходе атаки данные могут использоваться для фишинга и целевых атак с использованием методов социального инжиниринга. Пользователям облачных сервисов MongoDB рекомендуется включить двухфакторную аутентификацию.

Отмечается, что произошедший несколько часов назад сбой, из-за которого пользователи облачного хранилища Atlas и портала технической поддержки не могли подключиться, не связан с разбираемым инцидентом.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Первый стабильный выпуск FerretDB, реализации MongoDB на базе СУБД PostgreSQL
  3. OpenNews: Доступна документо-ориентированная СУБД MongoDB 6.0
  4. OpenNews: В ходе атаки Meow удалено около 4000 общедоступных БД Elasticsearch и MongoDB
  5. OpenNews: Используемая проектом MongoDB лицензия SSPL признана недопустимой в Fedora Linux
  6. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60299-mongodb
Ключевые слова: mongodb, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:41, 17/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот к чему приводит. Игра со сменами лицензий.
     
     
  • 2.3, nox. (?), 10:43, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +15 +/
    > облачный сервис

    это в принципе неудачная технология.

     
     
  • 3.4, Аноним (4), 10:54, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему, она очень выгодная в определённом смысле. А ещё позволяет переложить ответственность, в том числе необходимость врать и нарушать законы, на третье лицо.
     
     
  • 4.34, Бывалый смузихлёб (?), 09:30, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А ещё позволяет переложить ответственность,
    > в том числе необходимость врать и нарушать законы, на третье лицо

    Это, скорее, огромная дырища в законах
    Почти как с торговыми площадками вроде озона или с т.н "агрегаторами" такси и прочего( даже новостей или статей вроде Дзена ), которые на всё имеют право но абсолютно ни за что не отвечают

     
  • 3.6, Аноним (6), 12:12, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Технология действительно неудачная, потому что нет такой технологии. Это способ предоставления вычислительной услуги
     
     
  • 4.7, penetrator (?), 12:28, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Техноло́гия — совокупность методов и инструментов для достижения желаемого результата[1]; в широком смысле — применение научного знания для решения практических задач[1][2]. Технология включает в себя способы работы, её режим, последовательность действий[3].


    Википедия (С)

    ты сам себе противоречишь

     
     
  • 5.28, noc101 (ok), 03:31, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Облако - технология
    Облачные услуги - не технология
     
     
  • 6.37, 1 (??), 10:07, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    масло - оно масляное ...
    Услуга (товар) попендикулярно технологии (на основе которой они производятся/оказываются).
     
     
  • 7.39, noc101 (ok), 22:33, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно. Но услуга это не технология. Как покупка не товар.
     
  • 6.40, penetrator (?), 01:46, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Облако - технология
    > Облачные услуги - не технология

    сам себе придумал вариант его ответа, а теперь с этим вариантом и споришь

    как минимум 13 человек поняло о чем он, а ты нет, вот это номер )))

     
     
  • 7.41, noc101 (ok), 03:54, 20/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Облако - технология
    >> Облачные услуги - не технология
    > сам себе придумал вариант его ответа, а теперь с этим вариантом и
    > споришь
    > как минимум 13 человек поняло о чем он, а ты нет, вот
    > это номер )))

    А эти 13 человек в одной комнате с тобой?

     
     
  • 8.42, penetrator (?), 13:28, 22/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вася ты цифры знаешь Иди сходи плюсы посчитай ... текст свёрнут, показать
     
  • 3.11, Аноним (1), 14:38, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Смотришь на автора комментария и вспоминаешь что у него впринципе все в мире неудачное, может кроме него самого.
     
     
  • 4.31, nox. (?), 08:03, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Другие аргументы исчерпаны?
     
  • 3.15, Аноним (15), 17:23, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В смысле неудачная? Тот же Майкрософт на Azure зарабатывает больше, чем на продажах винды.
     
     
  • 4.30, Аноним (30), 05:47, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Продавцы гомеопатии тоже зарабатывают неплохо.
     
  • 4.32, nox. (?), 08:04, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то на ком-то зарабатывает. Это естественно, что у тех и других разные оценки.
     

  • 1.12, Чолхан (ok), 15:02, 17/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    По функционалу MongoDB сопоставим с популярными реляционными, но позволяет строить более "отзывчивые" сервисы
     
  • 1.13, Аноним (13), 16:30, 17/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что ещё можно ждать от монго как фирмы, если их ПО - решет0. Когда я последний раз сталкивался с MongoDB, в настройках по умолчанию у неё стояло следующее: Биндиться на все интерфейсы и не просить аутентификации. Не знаю как сейчас, но раньше большинство пользователей монги смотрели голым задом в сеть.
     
     
  • 2.16, Аноним (15), 17:24, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    О чём было написано в документации ясным и понятным языком. Но кто ж её читает? Пожтому в какой-то момент сменили дефолт на 127.0.0.1.
     
     
  • 3.19, Аноним (4), 19:29, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Публично доступный ластик -- всё ещё лучшее, до чего они додумались. Это гениально.
     

  • 1.17, adolfus (ok), 17:38, 17/12/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.18, InuYasha (??), 19:09, 17/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > рекомендуется включить двухфакторную аутентификацию.

    Другого мы и не ожидали. Пароли - это для лохов, СМС - верх надёжности.

     
     
  • 2.20, Anononononon (?), 21:02, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    внезапно 2FA != SMS
     
     
  • 3.26, InuYasha (??), 00:21, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если что - это был сарказм.
    Да, формально 2фа - это не смс. Но чаще всего это отдача контроля доступа треьтим лицам (а может, и четвёртым), которые, в свою очередь, хотят твой телефон.
    Единственный полуживой вариант - это USB-свисток, но носить его с собой и совать во все места - такое себе удовольствие.
     
     
  • 4.27, Quad Romb (ok), 02:06, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    TOTP ∈ 2FA
    Не знаю будет ли Вам от этого удовольствие, но это рабочее решение.
     
  • 4.29, noc101 (ok), 03:32, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    2ФА не смс настолько что в основном телефон не участвует в 2ФА.
     
  • 2.24, Аноним (24), 22:03, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > СМС - верх надёжности

    Расскажи это пользователями Киевстара, который лежит уже который день.

     

  • 1.22, Аноним (-), 21:29, 17/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > в облачном сервисе MongoDB Atlas

    ...наступил полный атас, когда эти хайпонашки даже сказать честно не могут что их раздербанили. Немножечко беременные!

     
  • 1.23, Аноним (24), 22:02, 17/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так и надо этим копрорастам. Расплата перед Всевышним за то что сменили лицензию на копроративную несвободную.
     
     
  • 2.33, nox. (?), 09:29, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К выбору корпоративной платформы необходимо подходить ответственно и с учетом всех рисков.
     
     
  • 3.38, anonymous (??), 17:54, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Волга впадает в Каспийское море.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру