Mais de 275 milhões de registros expostos por falha encontrada em banco de dados MongoDB

Logo MongoDB

Um enorme banco de dados MongoDB que expõe 275.265.298 registros de cidadãos indianos contendo informações pessoalmente identificáveis ​​(PII) foi deixado desprotegido na Internet por mais de duas semanas.

O pesquisador de descoberta de segurança Bob Diachenko descobriu o banco de dados MongoDB acessível publicamente hospedado no Amazon AWS usando o Shodan e, como os dados históricos fornecidos pela plataforma mostraram, o grande cache de dados de PII foi primeiro indexado em 23 de abril de 2019.

Como ele descobriu após uma investigação mais aprofundada, os dados expostos incluíam informações como nome, sexo, data de nascimento, e-mail, número de telefone celular, detalhes educacionais, informações profissionais (empregador, histórico de emprego, habilidades, área funcional) e salário atual para cada um dos registros do banco de dados.

Registro de banco de dados de amostra
Registro de banco de dados de amostra

Enquanto o banco de dados desprotegido do MongoDB vazou as informações confidenciais de centenas de milhões de indianos, Diachenko não encontrou nenhuma informação que pudesse vinculá-lo a um proprietário específico.

Além disso, os nomes das coleções de dados armazenadas no banco de dados sugeriam que todo o cache de currículos foi coletado “como parte de uma operação de raspagem em massa” para fins desconhecidos.

Estatísticas do banco de dados
Conteúdo da base de dados exposta

O pesquisador “imediatamente notificou a equipe da Indian CERT sobre o incidente, no entanto, o banco de dados permaneceu aberto e pesquisável até hoje, 8 de maio, quando foi suspenso por hackers conhecidos como grupo ‘Unistellar'”.

Depois que o banco de dados foi descartado pelos hackers, Diachenko descobriu a seguinte mensagem deixada para trás após a exclusão de todos os dados: 

A mensagem deixada pelos hackers
A mensagem deixada pelos hackers

Esses vazamentos de dados são uma coisa porque muitos bancos de dados do MongoDB são deixados publicamente acessíveis por seus proprietários e não estão devidamente protegidos. Isso significa que eles podem ser bloqueados, protegendo a instância do banco de dados.

O MongoDB fornece uma seção Segurança no site da Documentação que mostra como proteger adequadamente um banco de dados MongoDB , bem como uma lista  de verificação de segurança para administradores do MongoDB.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.