40 000 bases de données MongoDB compromises

Un groupe d'étudiants allemands vient de répertorier des dizaines de milliers de bases MongoDB librement accessibles. Le problème provient d'un défaut de paramétrage.

Près de 40 000 bases de données open source MongoDB seraient actuellement accessibles sur Internet... sans aucun contrôle d'accès. Le chiffre a été publié par un groupe d'étudiants de l'université de la Sarre en Allemagne. Le système d'un opérateur français (contenant 8 millions d'entrées) serait concerné. Son nom n'a pas été dévoilé.

Le problème ne proviendrait pas d'une faille, mais d'une mauvaise configuration liée à la gestion des adresses IP autorisées à accéder à la base NoSQL.

La société MongoDB a rapidement réagi à cette information sur son site. Elle y rappelle la procédure à suivre pour éviter le problème. L'article renvoie notamment à une liste d'actions à effectuer pour éviter les accès par des systèmes tiers ou des personnes malintentionnées (authentification du serveur lié, chiffrement des connexions avec le client...).