miércoles, 3 de agosto de 2016

Ojo con lo que tu MongoDB muestra a todo el mundo

Estábamos en SoftCrim, pensando ideas para una herramienta de seguridad, y uno de mis compañeros, propuso que para la herramienta que tenemos pensada, usar un MongoDB. Yo le dije que no estaba familiarizado con esta tecnología y que tenía que buscar un poco de información y juguetear un poco con ella. Hice un test y probé cómo andaba en cuanto a seguridad y como me aparecían algunas cosas que no sabía qué podían significar, busqué en Google y de mera casualidad, me apareció una herramienta que se llama RoboMongo y que es gratuita, así que tuve que realizar un esquema de todo lo nuevo y probar muchas, pero que muchas cosas.


Usar esta tecnología, la verdad es que no resulta muy complicado, basta con buscar un poco de información y ponerse a jugar, y eso hice, jugar con esta tecnología a ver qué sacaba.


Como siempre, comienzo a jugar con los buscadores. Con el que más tiempo suelo pasar, es con Shodan, así que aproveché que estaba buscando otras cosas en él y puse simplemente MongoDB, y como podéis ver, nos salen más de 32.000 resultados. Además vi que mostraba datos de la Base de Datos, pero como no me era familiar esta tecnología y además nunca había buscado nada acerca de esta tecnología, supuse que debía ser algo normal, aunque sospechaba mucho que debía ser algo más importante.


Entender el funcionamiento de RoboMongo, no resulta muy complicado, así que decidí probar los resultados obtenidos a través de Shodan en RoboMongo y me encontré información a cerca del sofware del servidor sobre el que corre el MongoDb. Entre otras cosas, podemos obtener qué versión es la que usan.


Además, podemos obtener también el email y la contraseña usada, algo que, si fuésemos los malos, nos serviría para mucho. Lo peor de todo, es que son muchas las bases de datos que muestran estos datos y mucho más.

Recogida toda esta información a cerca de su uso, y de sus problemas en cuanto a seguridad, hablaré con la gente de SoftCrim, para que si hacemos la herramienta con un MongoDB, tengan en cuenta todo esto que les voy a pasar y lo que les pasaré, pues me dedicaré unos días buscando posibles fallos de seguridad. Si vosotros sois administradores de sistemas y usáis MongoDB, tened esto muy en cuenta por si tenéis que tomar medidas, ya que lo más seguro es que algún malo ya lo haya aprovechado.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...