Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Service civique : une BDD de 5 Go avec 1,4 million d’enregistrements était librement accessible

La base de données MongoDB était géré par un sous-traitant, qui ne l’avait pas protégée par un mot de passe. Elle a été mise en ligne le 25 mai, répertoriée dans le moteur de recherche spécialisé Shodan le 27 mai et découverte par Bob Diachenko de Comparitech le 30 mai.

On y trouvait des détails sur 373 892 volontaires, plus d’un million de données sur des utilisateurs du site (email, nom et mot de passe « chiffré » selon le Service Civique cité par ZDNet) et « un répertoire de 1 913 contacts de haut niveau ».

Avec l’aide de Baptiste Robert (alias Elliot Alderson sur Twitter), ils sont remontés à la source et ont prévens le Service civique. Trois heures plus tard, l'accès était coupé. La plateforme affirme qu’« aucune intrusion malveillante ne s'est produite » et que l’incident a été porté à la connaissance de la CNIL.

9 commentaires
Avatar de Jeanprofite INpactien
Avatar de JeanprofiteJeanprofite- 04/06/20 à 10:29:12

À quand la même pour StopCovid à 300000€ par mois ?:D

Avatar de SKN Abonné
Avatar de SKNSKN- 04/06/20 à 11:18:26

C'est moi ou à chaque fois qu'un article cite MongDB, c'est pour faire part de fuite de données?

Vrai question :
C'est intrinsèquement du au système qui est pourri, ou il y que des boîtes de branques pour utiliser ça (parce que le système est pourri? ^^) ?

Edith : ortho et humour =D

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 04/06/20 à 11:26:13

SKN a écrit :

C'est moi ou à chaque fois qu'un article cite MongDB, c'est pour faire part de fuite de données?

Tu peux ajouter Elastic Search & d'autres outils, le problème étant que beaucoup sont fait pour tourner en "interne" et donc la sécurité par défaut est soit basse, soit inexistante. Pour Elastic, il faut un module payant très cher ou des alternatives gratuites, mais cela oblige à s'en préoccuper…

La sécurité coute de l'argent, donc ça fait ça d'économisé tant que "pas vu, pas pris…"

Avatar de GégéLaCrapule INpactien
Avatar de GégéLaCrapuleGégéLaCrapule- 04/06/20 à 12:05:11

@SKN: le 2/ m'sieur: MongoDB est une techno à la mode, kikoolol. Résultat, pas mal de Jean-Kévin qui n'y bite que dalle se mettent à en déployer en suivant un tuto trouvé sur un coin du web. L'étape 3 du tuto disait bien que fallait mettre un mot de passe, mais Jean-Kévin s'est dit qu'il le ferait plus tard et puis a oublié.

@bilbonsacquet: Yep, t'as plutôt raison. A la nuance près que, désormais, beaucoup d'instances de ces trucs tournent non plus en interne mais sur le cloud ... et pareil, c'est relou à configurer l'isolation réseau sur le cloud, donc ce que Jean-Kévin fait, c'est tout ouvrir comme ça il est peinard !

Avatar de spidermoon Abonné
Avatar de spidermoonspidermoon- 04/06/20 à 12:06:16

Par défaut, la base n’est pas sécurisée, la documentation d’installation explique très bien comment sécuriser la base. Il faut vouloir le faire et prendre le temps de le faire. cela a un coût et implique que le développeur s’en préoccupe dès le départ.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 04/06/20 à 13:56:50

Oui qu'on lui laisse le temps de lire la doc, parce que "le projet doit être mise en prod hier", "avec le mdp vide ça fonctionne donc laisse comme ça, on n'a pas la temps pour ces bétises de sécurité".

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 04/06/20 à 15:53:25

"La plateforme affirme qu’« aucune intrusion malveillante ne s'est produite »..."
En même temps, sans mot de passe, il doit être difficile de différencier une intrusion malveillante d'une bienveillante.

Avatar de Gorom INpactien
Avatar de GoromGorom- 05/06/20 à 09:49:28

C'est que je me dis aussi, est-il vraiment possible de prouver techniquement une "non-instrusion" ?

Avatar de jayc4 INpactien
Avatar de jayc4jayc4- 06/06/20 à 08:47:47

MongoDB, ca faisait longtemps. Ils ont failli se faire dépasser par Elasticsearch

Il n'est plus possible de commenter cette actualité.