Én og samme sikkerhetsforsker avslørte tre større sikkerhetsbrudd denne uken. Nok en gang ved hjelp av den spesialiserte søkemotoren Shodan, som indekserer svært mange enheter og åpne porter på internett. (Bilde: digi.no)

MongoDB og Shodan

Her ligger 35.000 databaser åpne for misbruk

Sikkerhetsekspert ble møtt med trusler om hiv-smitte, da han informerte et berørt selskap.

Svært mange MongoDB-databaser lekker personopplysninger. Faktisk er det flere titusener av slike databaser, som ligger åpent eksponert mot internett. Årsaken kommer vi tilbake til lenger ned i artikkelen.

Her får du tre lekkasjer oppdaget av én og samme sikkerhetsforsker, Chris Vickery. Alle tilfellene ble offentliggjort mandag denne uken.

Lekkasjene er avdekket ved hjelp av søketjenesten Shodan.

Dating-appen Hzone

Hzone er en dating-app for hiv-positive. Medlemsdatabasen med rundt 5.000 kontoer lå åpent tilgjengelig, uten kryptering og med svært sensitive data.

Fødselsdata, religion, sivilstand, e-postadresse, etnisitet, seksuell legning, sist brukte IP-adresse og politisk ståsted er bare noen av typene data som var blottlagt.

Navn, kontaktopplysninger og betalingskort var også tilgjengelig for den delen av kundemassen som betalte for tjenesten, som ellers er gratis.

Databasen eksponerte også brukernes meldinger, som ifølge nettstedet Databreaches.net inneholdt svært personlige eller sensitiv informasjon og helseopplysninger.

Da sikkerhetsforskeren tok kontakt med selskapet bak Hzone for å informere om lekkasjen, skal han ha blitt møtt med trusler om hiv-smitte, før de senere beklaget den umiddelbare reaksjonen. Nettavisen CSO Online har mer om den historien.

Trenings-app

Vickery avslørte også en tilsvarende datalekkasje i trenings-appen iFit, også det ved hjelp av søkemotoren Shodan.

iFit hevder at databasen han fant var en flere år gammel test-database fylt med ekte data. Dette sikkerhetsbruddet omfattet 576.274 brukere.

Alle de tre berørte databasene vi nevner i denne artikkelen skal ha blitt sikret før Databreaches offentliggjorde funnene på mandag denne uken.

MacKeeper - 13 millioner kontoer

MacKeeper er en mildt sagt omstridt applikasjon. Programmet har vært aggressivt markedsført til Mac-brukere i årevis, med en rekke påståtte nyttefunksjoner som virusskanning, optimalisering, rensing av systemet osv.

Trass enkelte positive anmeldelser later det til å være relativt mange som advarer om at dette programmet gjør mer skade enn nytte for seg. Et søk etter "MacKeeper scam" kan anbefales.

Uansett, på mandag avslørte Chris Vickery et sikkerhetsbrudd også her. Denne gangen omfatter det 13 millioner kontoer med sensitive brukerdata.

Kromtech, selskapet bak MacKeeper, erkjenner lekkasjen og har publisert en kunngjøring der retter en stor takk til Vickery for å ha oppdaget lekkasjen, som de oppgir ble fikset i løpet av få timer.

Tilbake til MongoDB og Shodan

I februar 2015 oppdaget en gruppe tyske IT-studenter nærmere 40.000 tilfeller av MongoDB-databaser som eksponerer innholdet sitt helt åpent på internett.

Dette kunne de finne relativt enkelt ved å søke i Shodan etter tjenester som lytter på port 27017, en port som tidligere var eksponert mot det åpnet internett i standardkonfigurasjonen ved installasjon av MongoDB.

I dag er det fortsatt 35.000 tilfeller av det samme, og selv om mange av dem later til å være duplikater er dette fremedeles et urovekkende høyt antall, stadfester Databreaches.net.

Når digi.no sjekket onsdag morgen fant vi 34.816 treff på søk etter eksponerte MongoDB-databaser.

Grunnlegger av søkemotoren Shodan heter John Matherly.

I et fersk blogginnlegg redegjør han for hvorfor svært mange MongoDB-installasjoner fremdeles ligger åpne, til tross for at produktet har endret sin standardkonfigurasjon slik at de i utgangspunktet bare skal svare på localhost, og følgelig ikke være tilgjengelige over det åpne internettet.

Det viser ser at mange har oppgradert til nyere versjoner, men samtidig behold den gamle konfigurasjonen.

– Jeg kan ikke få understreket sterkt nok at dette problemet på ingen måte er unikt for MongoDB. Redis, CouchDB, Cassandra og Riak er like påvirket av denne typen feilkonfigurasjoner, skriver Shodan-gründeren.

Shodan fikk stor oppmerksomhet i norsk presse for et par år siden, ikke minst som noe av grunnlaget for Dagbladets prisbelønte og omfattende serie med avsløringer av sikkerhetsproblemer.

Til toppen