MongoHQ,
la firma que da soporte profesional y alojamiento a usuarios de la base de
datos MongoDB, ha informado en un
comunicado que han detectado una intrusión en sus servidores. Según la
compañía los atacantes podrían haber
accedido a la base de datos de cuentas de usuarios.
MongoDB es una base de datos
NoSQL, programada en C++ y licenciada bajo GNU AGPL. MongoDB fue publicada por
primera vez en 2009, su uso se encuentra bastante extendido en la industria.
El pasado día 28 de octubre, los
técnicos del equipo de operaciones de MongoHQ detectaron un acceso no autorizado a una aplicación interna
orientada al soporte. Los atacantes habían usado unas credenciales provenientes
de una cuenta comprometida. La aplicación interna permite acceder a información
de cuentas, lista de bases de datos, direcciones de correo electrónico y las
credenciales de los clientes en forma de hash utilizando el algoritmo bcrypt.
El problema es que dicha
aplicación de soporte permite a cualquier técnico autenticado acceder al portal
principal de los clientes con los mismos privilegios que estos para realizar
tareas de soporte. En ese portal el cliente puede consultar sus datos
almacenados y administrar sus instancias privadas de MongoDB.
Los responsables dan por hecho
que los atacantes han tenido acceso a
los datos de conexión de los clientes y a través de la auditoría que están
llevando a cabo han detectado accesos a los datos almacenados utilizando las
credenciales que guardaban. Es decir, que ciertas
bases de datos de sus clientes han sido volcadas (se desconoce si parcial o
totalmente) por los intrusos.
La respuesta de MongoHQ fue
detener los servicios implicados y proceder a efectuar un análisis forense y
auditoría. Se han desactivado las cuentas de los técnicos y rehabilitado tras
cambiar sus credenciales. También se han puesto en contacto con los clientes
afectados directamente, al menos sobre los que tienen evidencia de que sus
datos han sido accedidos.
Sobre las medidas que van a
imponer a partir de ahora, anuncian la imposición de un sistema de doble
autenticación, acceso exclusivo a través de VPN y la dotación de permisos
graduales basados en el mínimo privilegio necesario. Además planean cifrar el
contenido importante que administren las aplicaciones.
Resulta evidente que este anuncio de medidas es equivalente a
decir que carecían de ellas. No es fácilmente digerible que una
arquitectura que almacena datos, supongamos muy valiosos, de terceros no
tuviera ya una rigidez y fiabilidad desde el punto de vista de la seguridad.
Sorprende sobre todo el último punto, que no tuvieran establecido un sistema de
credenciales basados en el mínimo privilegio, algo básico.
Otro de los puntos reseñables en
el comunicado es la invalidación de credenciales de Amazon Web Services que sus
clientes tenían almacenadas en MongoHQ. Dichas cuentas eran usadas para
realizar copias de respaldo en la infraestructura S3 de Amazon.
Por supuesto, como primera medida a tomar, aconsejan
cambiar las credenciales de acceso a los servicios.
MongoHQ irá comunicando, a medida
que aparezcan nuevos hallazgos, información sobre el incidente.
Más información:
MongoHQ Security Breach
bcrypt
David García
Twitter: @dgn1729
No nos acabamos de recuperar de lo del sitio de PHP y ahora esto. Estamos en la calle !Que inseguridad!
ResponderEliminar