В базах данных тысяч российских компаний найдена зияющая дыра

Массовый бэкдор Специалист по кибербезопасности из Нидерландов Виктор Геверс (Victor Gevers) обнаружил бэкдор, который дает доступ к серверам тысяч российских компаний. В общей сложности уязвимость обнаружилась более чем в 2 тыс. баз данных, пишет исследователь в соцсети Twitter. Интересно, что для доступа к бэкдору используется учетная запись Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. в базах данных MongoDB. Геверс сообщил изданию ZDNet, что впервые увидел опасную учетную запись на сайте российских государственных лотерей «Столото». Затем он начал искать Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. в других открытых базах, и поиски увенчались успехом. Во всех случаях учетная запись требовала удаленный доступ к информации и использовала одни и те же учетные данные. Все базы данных о которых идет речь, находились в общем доступе с настройками, заданными по умолчанию. Таким образом, кто угодно мог получить доступ к информации. Через бэкдор можно было получить доступ к серверам не только российских компаний, но и российских филиалов зарубежных корпораций, включая, например, российское подразделение Disney. Некоторые уязвимые базы принадлежали местным банкам, финансовым институциям и крупным телеком-компаниям, включая ТТК. Также запись Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. нашлась в базе данных, принадлежащей МВД Украины. База используется для ведения реестра досудебных расследований, которые Генпрокуратура Украины предпринимает против коррумпированных политиков. В базах данных тысяч российских компаний обнаружен бэкдор Геверс не углублялся в журналы серверов компаний, поскольку это уже выходило бы за рамки исследования безопасности. Поэтому специалист не может сказать, для чего именно был предназначен бэкдор. Однако уязвимость могла использоваться для кражи или корректировки корпоративной информации. Продукция MongoDB Основным продуктом американского разработчика MongoDB является документоориентированная СУБД MongoDB, созданная в 2009 г. СУБД построена по модели NoSQL и написана на С++. Другие примечательные черты — открытый код, отсутствие необходимости описывать схемы таблиц и использование документов типа JSON для обмена данными. Документы хранятся в формате BSON. Поскольку это не реляционная СУБД, в ней не предусмотрены такие понятия как транзакция и изоляция. MongoDB поддерживает специфические запросы, объектами которых могут быть конкретные поля документов или функции JavaScript. Также СУБД поддерживает индексацию и способна работать с набором реплик. Присутствует возможность горизонтального масштабирования с распределением данных. MongoDB может работать как файловое хранилище, также возможна работа по модели распределенных вычислений MapReduce. Продукцию MongoDB используют такие компании как разработчик ПО Adobe, торговая площадка eBay и популярный сайт объявлений Craigslist. В 2012 г. компания договорилась с Microsoft об установке своей СУБД в облаке Microsoft Azure. Это обеспечило возможность запускать СУБД на виртуальных машинах Microsoft Azure. В октябре 2017 г. MongoDB провела IPO. Ссылка на источник