: *
: *
*
*
  • Новости за 2014 год
  • Новости за 2013 год
  • Новости за 2012 год
  • Новости за 2011 год
Фирма поддержки MongoDB говорит, что злоумышленники, возможно, получили доступ к базам данных

MongoHQ, который обеспечивает оказание гостеприимства и поддержку общедоступной базы данных монго, сказал, что нападавшие, возможно, получили доступ к нескольким из баз данных ее клиентов ранее на этой неделе.

 

В понедельник кто-то получил доступ к внутреннему применению поддержки, используя пароль, который использовался для поставившего под угрозу личного счета, написал Джейсону Маккею, основателю MongoHQ.

 

Применение поддержки содержит информацию о связи для клиента случаи MongoDB, наряду со списками баз данных, адресов электронной почты и пользовательских верительных грамот, крошивших с bcrypt, инструментом шифрования файла, написал Маккей. Ревизия показала, что к нескольким базам данных, возможно, получили доступ через то применение поддержки.

 

"Мы полагаем, что исчерпали область этого компромисса и непосредственно связываемся со всеми затронутыми клиентами," написал Маккей. "Мы продолжаем оценивать наши контрольные регистрации и проводим дальнейшие исследования с помощью сторонних экспертов."

 

Компания лишила законной силы верительные грамоты, такие как IAM (Идентичность и управление Доступом) ключи, это сохранило для потребительского использования Amazon Web Services (AWS) для резервных копий. MongoHQ зарегистрировал AWS счетов, которые, возможно, были затронуты, и AWS предлагает Премиальную Поддержку организаций, которые нуждаются в новых верительных грамотах, написал Маккей.

 

MongoHQ, у которого есть офисы в Калифорнии и Алабаме, оказывает услуги, чтобы позволить разработчикам создавать и управлять базами данных NoSQL Mongo для своих заявлений.

 

Начиная с нарушения MongoHQ сказал, что это перезагрузило верительные грамоты логина для своих счетов сотрудника, включая электронную почту, сетевые устройства и внутренние заявления. Стоящие с сотрудником приложения поддержки были людьми с ограниченными возможностями, пока установление подлинности с двумя факторами не позволено, связи VPN с теми заявлениями проведены в жизнь, и разрешения на доступ сотрудника рассмотрены, написал Маккей.

 

Тем временем Маккей сказал, что MongoHQ изменяет свою систему, чтобы зашифровать и расшифровать данные на уровне приложения, который смягчит возможное повреждение от того же самого типа вторжения. Это также наняло консалтинговую фирму безопасности, чтобы сделать тест проникновения его прикладного стека, написал Маккей.

 

"Основанный на их рекомендациях, мы будем укреплять наши заявления обеспечить больше слоев безопасности," написал он.