jueves, 31 de octubre de 2013

Intrusión en la red de la compañía MongoHQ

MongoHQ, la firma que da soporte profesional y alojamiento a usuarios de la base de datos MongoDB, ha informado en un comunicado que han detectado una intrusión en sus servidores. Según la compañía los atacantes podrían haber accedido a la base de datos de cuentas de usuarios.

MongoDB es una base de datos NoSQL, programada en C++ y licenciada bajo GNU AGPL. MongoDB fue publicada por primera vez en 2009, su uso se encuentra bastante extendido en la industria.

El pasado día 28 de octubre, los técnicos del equipo de operaciones de MongoHQ detectaron un acceso no autorizado a una aplicación interna orientada al soporte. Los atacantes habían usado unas credenciales provenientes de una cuenta comprometida. La aplicación interna permite acceder a información de cuentas, lista de bases de datos, direcciones de correo electrónico y las credenciales de los clientes en forma de hash utilizando el algoritmo bcrypt.

El problema es que dicha aplicación de soporte permite a cualquier técnico autenticado acceder al portal principal de los clientes con los mismos privilegios que estos para realizar tareas de soporte. En ese portal el cliente puede consultar sus datos almacenados y administrar sus instancias privadas de MongoDB.

Los responsables dan por hecho que los atacantes han tenido acceso a los datos de conexión de los clientes y a través de la auditoría que están llevando a cabo han detectado accesos a los datos almacenados utilizando las credenciales que guardaban. Es decir, que ciertas bases de datos de sus clientes han sido volcadas (se desconoce si parcial o totalmente) por los intrusos.

La respuesta de MongoHQ fue detener los servicios implicados y proceder a efectuar un análisis forense y auditoría. Se han desactivado las cuentas de los técnicos y rehabilitado tras cambiar sus credenciales. También se han puesto en contacto con los clientes afectados directamente, al menos sobre los que tienen evidencia de que sus datos han sido accedidos.

Sobre las medidas que van a imponer a partir de ahora, anuncian la imposición de un sistema de doble autenticación, acceso exclusivo a través de VPN y la dotación de permisos graduales basados en el mínimo privilegio necesario. Además planean cifrar el contenido importante que administren las aplicaciones.

Resulta evidente que este anuncio de medidas es equivalente a decir que carecían de ellas. No es fácilmente digerible que una arquitectura que almacena datos, supongamos muy valiosos, de terceros no tuviera ya una rigidez y fiabilidad desde el punto de vista de la seguridad. Sorprende sobre todo el último punto, que no tuvieran establecido un sistema de credenciales basados en el mínimo privilegio, algo básico.

Otro de los puntos reseñables en el comunicado es la invalidación de credenciales de Amazon Web Services que sus clientes tenían almacenadas en MongoHQ. Dichas cuentas eran usadas para realizar copias de respaldo en la infraestructura S3 de Amazon.

Por supuesto, como primera medida a tomar, aconsejan cambiar las credenciales de acceso a los servicios.

MongoHQ irá comunicando, a medida que aparezcan nuevos hallazgos, información sobre el incidente.

Más información:

MongoHQ Security Breach

bcrypt


David García

Twitter: @dgn1729

1 comentario:

  1. No nos acabamos de recuperar de lo del sitio de PHP y ahora esto. Estamos en la calle !Que inseguridad!

    ResponderEliminar