Атакующий ворвался в обслуживание базы данных MongoHQ и использовал «являться олицетворением» функцию поддержки для доступа к ограниченному количеству данных пользователей.Используя поставившее под угрозу имя пользователя и пароль администратора, атакующие нарушили сеть базы данных как сервис фирма MongoHQ, получив доступ к данным «ограниченного количества» пользователей, фирма заявила в подробном описании нападения, опубликованного 29 октября.MongoHQ, который обеспечивает управляемый доступ к экземплярам того неструктурированного программного обеспечения MongoDB базы данных, обнаружил нападение 28 октября и сразу закрыл доступ к внутренним приложениям, пока каждый член команды не сбросил его или ее учетные данные.
Атакующие получили доступ к приложению поддержки компании, которое в свою очередь предоставило им доступ к сведениям об аккаунте клиентов, включая базы данных, адреса электронной почты и зашифровало удостоверения пользователя, сказали CEO и соучредитель Джейсон Маккей в подробной должности.«В обработке инцидентов безопасности приоритеты MongoHQ состоят в том, чтобы остановить нападение, устранить отказы управления, которые позволили нападению происходить и сообщать об инциденте искренно и точно нашим клиентам», сказал он.Аудит действий атакующих в системе показал, что к учетным записям некоторых клиентов получили доступ с помощью «являться олицетворением» функции поддержки, которая позволяет персоналу поддержки просматривать учетные записи, как будто они были клиентом. Компания связалась с затронутыми клиентами, сказал Маккей.
Атакующие получили доступ с помощью имени пользователя и пароля, который поставился под угрозу в отдельном нарушении. Большинство пользователей запоминает маленький список паролей, которые они используют на различных сайтах, даже при том, что повторное использование паролей подвергает соединенные учетные записи опасности.
Для возмещения риска в будущем компания реализовала двухфакторную аутентификацию для внутренних приложений, сказал Маккей.Компания должна рекомендоваться для открытости ее учетной записи нападения, сказал Джефф Уэбб, директор стратегии решений безопасности как сервис провайдер NetIQ. Однако при помощи только пароля для безопасности счета по внутренним расчетам, MongoHQ оставил себя открытым для аутсайдера, получающего поднятые полномочия в его сети, сказал Уэбб.
«Если кто-то внутри, являются ли они сотрудником или кем-то подменяющим сотрудником, тогда я должен найти способ иметь дело с этим», сказал он.Распространенный способ препятствовать тому, чтобы аутсайдеры получили доступ к внутренним ресурсам, состоит в том, чтобы использовать сетевую сегментацию для добавления другого уровня безопасности, по словам Криса Хинкли, старшего архитектора систем безопасности с FireHost, безопасным поставщиком услуг хостинга.«Это – тревожное отсутствие сегментации относительно административных приложений и других частей сети, которая означала, что нарушение всегда было в картах», Хинкли заявил. «Приложения поддержки не должны были быть публично доступными вообще, и VPN, предпочтительно с двухфакторной аутентификацией, должна была существовать для предотвращения ущерба от поставивших под угрозу паролей».
Масштабируемые базы данных, способные к обработке больших наборов данных, таких как MongoDB, стали очень популярными, поскольку так называемая аналитика «больших данных» завоевала популярность с предприятиями. MongoHQ, который предлагает доступ к масштабируемым базам данных в облаке, быстро увеличил и теперь обрабатывает приблизительно 6 миллиардов транзакций базы данных каждый день, по данным фирмы.