«Это не сложная ошибка, но ее последствия катастрофичны», — объясняет Майкл Бэкес, профессор информационной безопасности и криптографии Саарландского университета и директор CISPA. В конце января с ним связались студенты и сотрудники CISPA Кай Грешак, Эрик Петрика и Йенс Хейенс.
Хейенс изучает кибербезопасность в Саарландском университете, и двое его однокурсников планируют сосредоточиться на этом предмете в предстоящем семестре. Недостаток, обнаруженный тремя студентами CISPA, затрагивает 39 890 баз данных. «Базы данных доступны в сети без защиты каких-либо защитных механизмов. У вас даже есть разрешения на обновление и изменение данных. Следовательно, мы предполагаем, что базы данных не были оставлены открытыми специально», — объясняет Бэкес.
Поставщиком базы данных является MongoDB Inc. Ее база данных MongoDB является одной из наиболее широко используемых баз данных с открытым исходным кодом во всем мире.
Из любопытства студенты запросили общедоступную поисковую систему о серверах и службах, подключенных к Интернету. Таким образом они обнаружили IP-адреса, которые компании используют для запуска незащищенных баз данных MongoDB.Когда студенты вызвали обнаруженные базы данных MongoDB с соответствующими IP-адресами, они были удивлены: доступ не был ни заблокирован, ни защищен каким-либо другим способом. «Такая незащищенная база данных похожа на публичную библиотеку с широко открытой входной дверью и без библиотекаря.
Каждый может войти», — объясняет Бакес. В течение нескольких минут студенты обнаружили это критическое состояние и в других многочисленных базах данных.
Они даже нашли базу данных клиентов, которая могла принадлежать французскому интернет-провайдеру и оператору мобильной связи. Он содержал адреса и номера телефонов примерно восьми миллионов французских клиентов.
По словам студентов, среди этих адресов они также нашли данные полумиллиона немецких клиентов.Они также обнаружили незащищенную базу данных немецкого интернет-магазина, включая платежную информацию. «Сохраненные данные могут быть использованы позже для кражи личных данных. Даже если о краже личных данных известно, даже годы спустя пострадавшим людям приходится иметь дело с контрактами, подписанными под их собственными именами похитителями личных данных», — говорит Бэкес. Исследователи CISPA немедленно начали связываться с MongoDB Inc., а также с международными группами реагирования на компьютерные чрезвычайные ситуации (CERT).
Они проинформировали Французскую службу защиты данных Национальной комиссии по информатике и свободе и Немецкое управление информационной безопасности. «Мы также надеемся, что разработчик MongoDB быстро включит наши результаты, включит их в свои руководящие принципы и отправит их компаниям, использующим базу данных», — говорит Бэкес.