MongoDB : quand tirer la sonnette d’alarme ne sert à rien

On compterait aujourd’hui 28 322 bases de données MongoDB compromises car mal sécurisées, selon la liste maintenue par Niall Merrigan, et Victor Gevers. Plus d’une centaine de victimes auraient payé une rançon dans l’espoir de récupérer leurs données.

Le plus impressionnant est ici la progression du nombre d’instances compromises : le 3 janvier dernier, elles n’étaient encore qu’environ 2 000, selon le fondateur du moteur de recherche spécialisé Shodan, John Matherly.

Mais c’est le 27 décembre dernier que Victor Gevers a tiré la sonnette d’alarme, après avoir découvert des bases de données MongoDB exposées sur Internet et commençant à être prises en otage par des attaquants. Toufik Airane, consultant chez Enki Security, l’avait toutefois devancé.

Mais manifestement, cette alerte a été bien plus entendue par les cyberdélinquants que par les administrateurs d’instances MongoDB. De fait, le nombre de groupes attaquant ces bases de données est passé de un fin décembre, Harak1r1, à quinze aujourd’hui.

Le 28 décembre dernier, John Matherly relevait plus de 60 000 bases MongoDB accessibles sur Internet, dont 70 % sans mécanisme d’authentification pour les protéger. Mais le fondateur de Shodan avait déjà tenté d’alerter sur cette situation en juillet 2015 ! Et c’était cinq mois après que trois étudiants de l’université de la Sarre, à Sarrebruck, aient annoncé avoir découvert près de 40 000 bases MongoDB librement accessibles en ligne. Selon Shodan, on compte aujourd’hui plus de 47 000 bases de données MongoDB exposées sur Internet, dont plus de 2 000 en France.

De son côté, MongoDB a réagi en publiant toute une série de recommandations pour sécuriser ses bases de données en empêcher l’accès depuis Internet.