Onbeschermde MongoDB instance lekt miljoenen CV’s

Abonneer je gratis op Techzine!

Een beveiligingsonderzoeker genaamd Bob Diachenko van Hacken.io heeft een publiekelijk inzichtelijke MongoDB instance gevonden met de CV’s van 202 miljoen Chinezen. Het is onduidelijk wie de eigenaar is van de database, meldt Silicon Angle.

De database werd eind december ontdekt en bevat 864,8 GB aan data. Er is geen wachtwoord of andere vorm van login vereist om de details van ruim 200 miljoen gedetailleerde CV’s in te zien. De data zou bestaan uit persoonlijke informatie als mobiele telefoonnummers, e-mails, kinderen, salarisverwachtingen en details van rijbewijzen.

De data is mogelijk illegaal vergaard door data te scrapen van verschillende Chinese vacaturesites, zoals bj.58.com. Hoewel de bron van de data onbekend is, is de instance inmiddels wel beveiligd.

“Nu instances als deze steeds meer gemeengoed worden, moeten organisaties inzien wat het belang is van het goed beveiligen van database-servers van derde partijen, en de benodigde stappen nemen om data te versleutelen, zodat het niet te gebruiken is voor malafide doeleinden als het in de verkeerde handen valt”, aldus Eric Murray, beveiligingsarchitect bij Zettaset.

“In deze specifieke zaak is het verrassend dat de websites met CV’s geen rate limiting gebruiken om te voorkomen dat data scraping-tools gevoelige gebruikersinformatie verzamelen. Hopelijk toont deze trend met openbare servers aan dat er een significante noodzaak is voor effectieve beveiliging.”

Verplichte patches

Rod Soto, directeur van beveiligingsonderzoek bij JASK, stelt dat incidenten als deze, waarbij een bekend kwetsbaar product misbruikt wordt, de vraag omhoog brengt of software-ontwikkelaars verplicht moeten worden om geautomatiseerde patching van hun code te introduceren. Soto geeft aan dat dit algemene proces nu al gebruikt wordt met besturingssystemen en een aantal web-applicaties. Daardoor vermindert het aanvalsoppervlak van deze bekende kwetsbare apps die op het internet staan.

Soto wijst er ook op dat het met dwang aanbieden van updates en patches vaak ook onbedoelde consequenties heeft. “maar door het aantal breaches als deze en de gerelateerde criminele activiteit die erbij hoort, is het tijd om de voor- en nadelen af te wegen van het niet patchen en kwetsbaar houden van deze producten, tegenover het patchen en beveiligen van de producten en omgaan met de bijbehorende effecten.”