Alerte de sécurité MongoDB

 (mongodb.com)
2 points par GN⁺ 2023-12-18 | 1 commentaires | Partager sur WhatsApp

Alerte de sécurité MongoDB

  • MongoDB rencontre des problèmes de connexion à Atlas et au portail de support en raison d’une augmentation des tentatives de connexion. Cela n’est pas lié à un incident de sécurité, et si vous avez des difficultés à vous connecter, il est recommandé de réessayer quelques minutes plus tard.
  • MongoDB enquête sur un incident de sécurité impliquant un accès non autorisé à certains systèmes internes de l’entreprise. Des métadonnées de comptes clients et des informations de contact ont ainsi été exposées. Une activité suspecte a été détectée mercredi soir et les procédures de réponse à incident ont été immédiatement activées. À ce stade, aucune exposition des données clients stockées dans MongoDB Atlas n’a été constatée, mais il est recommandé aux clients de rester vigilants face aux attaques d’ingénierie sociale et de phishing, d’activer une authentification multifacteur (MFA) résistante au phishing et de changer régulièrement leur mot de passe MongoDB Atlas.

Concernant l’intégrité des données

  • En raison d’un problème d’insertion sur les collections time series shardées, des documents insérés peuvent devenir immédiatement orphelins, ne pas être renvoyés par les requêtes et entraîner une perte de données.
  • En raison d’une condition de concurrence dans mongosync 1.5, certaines opérations d’écriture de la source peuvent ne pas être répliquées vers la cible. Une mise à niveau vers la version 1.6 ou ultérieure est recommandée.
  • En raison d’un problème du moteur de stockage, les sauvegardes incrémentales dans Ops Manager et Cloud Manager peuvent devenir incohérentes, et les clusters restaurés à partir de sauvegardes incrémentales affectées peuvent planter à cause d’erreurs de checksum.

Concernant l’exploitation

  • En raison de la mise en cache des résultats de dbhash, des incohérences peuvent apparaître entre les config servers d’un cluster shardé.

Concernant la sécurité

  • Des informations sensibles peuvent être enregistrées lorsque le mode debug d’Atlas Operator est activé.
  • Certains drivers MongoDB peuvent publier, vers les command listeners configurés par l’application, des événements contenant des données liées à l’authentification.
  • Si un serveur MongoDB exécuté sous Windows ou macOS est configuré pour utiliser TLS, des problèmes de validation de certificat peuvent survenir.

Avis de GN⁺ :

  • Le point le plus important de cet article est que MongoDB enquête activement sur le récent incident de sécurité et recommande aux clients de prendre des mesures de protection.
  • Plusieurs problèmes liés à l’intégrité des données continuent d’être détectés, les utilisateurs de MongoDB doivent donc surveiller ces sujets de près.
  • Comme un incident de sécurité peut avoir de graves conséquences pour les entreprises comme pour les particuliers, cet article fournit des informations particulièrement intéressantes et importantes pour les utilisateurs de MongoDB.

À lire aussi

1 commentaires

 
GN⁺ 2023-12-18
Avis Hacker News

  • Une situation s’est produite où il était totalement impossible d’accéder au compte Atlas et au portail de support. Toutes les tentatives d’authentification Mongo via Okta échouaient, et le message « The request contained invalid data. » s’affichait sur l’écran de connexion. L’authentification étant également requise pour utiliser le portail de support, il était difficile d’obtenir de l’aide en cas d’échec de l’authentification. La personne se demande si d’autres utilisateurs ont aussi des problèmes d’accès au tableau de bord. L’authentification a recommencé à fonctionner plus tard, permettant à nouveau l’accès au tableau de bord.

  • Ce cas montre clairement que les informations peuvent être limitées au stade initial de l’enquête et indique que d’autres informations seront fournies par la suite. Cette approche est jugée positivement.

  • Il est souligné que, même si les clients Atlas ne sont pas touchés, ils peuvent naturellement être inquiets après une annonce aussi lourde concernant le site web ou les canaux de support. À cause du changement de licence SSPL, c’est limité, mais un fournisseur indépendant de DBaaS MongoDB offrirait une véritable redondance. La personne espère que FerretDB réussira à construire une alternative viable.

  • La personne se demande s’il manque un élément de contexte concernant le fait de changer régulièrement le mot de passe MongoDB Atlas, à savoir si c’est bien une recommandation des équipes de sécurité modernes.

  • Réception d’une alerte par e-mail de MongoDB concernant un incident de sécurité. Il y a eu un accès non autorisé à certains systèmes d’entreprise de MongoDB, et des métadonnées de comptes clients ainsi que des coordonnées ont été exposées. Aucune exposition de données clients stockées dans MongoDB Atlas n’est actuellement connue. Une activité suspecte a été détectée mercredi soir et les procédures de réponse à incident ont été activées immédiatement. L’accès non autorisé aurait duré pendant un certain temps avant d’être découvert. La notification aux autorités compétentes a commencé. Il est recommandé aux clients de faire attention aux attaques de social engineering et de phishing, d’activer une authentification multifacteur (MFA) résistante au phishing lorsque c’est possible, et de changer régulièrement leurs mots de passe. MongoDB continuera à publier des mises à jour sur mongodb.com/alerts à mesure que l’enquête progresse.

  • Blague : « Les données sont en sécurité, parce que nous ne les avons pas écrites sur disque. »

  • Une personne qui n’a jamais utilisé MongoDB se demande pourquoi certains le préfèrent à d’autres bases de données.

  • La personne se demande sincèrement pourquoi, de nos jours, des gens choisissent encore Mongo plutôt que Postgres, tout en précisant qu’elle n’a rien contre les données JSON.

  • Interrogation sur le fait de savoir si MongoDB se porte bien, et si l’enthousiasme autour du produit ne semble pas être un peu retombé.