นักวิจัยพบมีการใช้งาน MongoDB ที่ไม่ปลอดภัยมากถึง 35,000 ระบบ เปิดเผยข้อมูลเกือบ 700TB

mongodb_banner

John Matherly นักวิจัยทางด้านความปลอดภัยผู้พัฒนา Shodan ระบบ Search Engine สำหรับอุปกรณ์ที่เชื่อมต่ออินเตอร์เน็ต ได้ตรวจพบระบบที่ใช้งาน MongoDB อย่างไม่ปลอดภัยรวมกันมากกว่า 35,000 ระบบ, มีข้อมูลใน MongoDB ประมาณ 684.8TB และนักวิจัยรายอื่นพบว่ามี Account ผู้ใช้งานระบบต่างๆ รวมกันราวๆ 25 ล้านรายการที่สามารถถูกเข้าถึงผ่านอินเตอร์เน็ตได้โดยง่ายจากการกำหนดค่าการใช้งานที่ไม่ปลอดภัยนี้

ถึงแม้ MongoDB รุ่น 3.0 เป็นต้นมาจะทำการปรับแต่งค่าตั้งต้นให้สามารถเข้าถึงได้จาก localhost เท่านั้นแล้ว แต่ผู้ใช้งานหลายคนก็ได้ทำการเปลี่ยนแปลงการตั้งค่านี้ให้เข้าถึงจากเครื่องอื่นได้โดยไม่ทำการเสริมการตั้งค่าที่ปลอดภัยอื่นๆ เพิ่มเติม หรืออัพเกรดมาจากระบบรุ่นเก่ากว่าที่มีการตั้งค่าที่ไม่ปลอดภัย ทำให้ MongoDB รุ่น 3.0.7 กลายเป็นรุ่นที่ถูกตรวจพบล่าสุดมากถึง 3,010 ระบบที่ไม่ปลอดภัย และรุ่น 3.0.6 เองก็ติดอยู่ในอันดับต้นๆ ที่ 1,256 ระบบ

ระบบ MongoDB นี้สามารถถูกพบได้ส่วนมากในระบบ Cloud ของ Digital Ocean, Amazon และ Alibaba

เหตุการณ์ครั้งนี้เป็นบทเรียนที่ดีสำหรับ Developer ทั้งหลายที่ควรให้ความสำคัญกับเรื่องของความปลอดภัยในระบบที่นำมาใช้งานกันให้มากกว่านี้ครับ

ที่มา: http://www.networkworld.com/article/3015999/over-650-terabytes-of-data-up-for-grabs-due-to-publicly-exposed-mongodb-databases.html#tk.rss_all

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …