

El pasado día 28 de octubre, los técnicos del equipo de operaciones de MongoHQ detectaron un acceso no autorizado a una aplicación internaorientada al soporte. Los atacantes habían usado unas credenciales provenientes de una cuenta comprometida. La aplicación interna permite acceder a información de cuentas, lista de bases de datos, direcciones de correo electrónico y las credenciales de los clientes en forma de hash utilizando el algoritmo bcrypt.
El problema es que dicha aplicación de soporte permite a cualquier técnico autenticado acceder al portal principal de los clientes con los mismos privilegios que estos para realizar tareas de soporte. En ese portal el cliente puede consultar sus datos almacenados y administrar sus instancias privadas de MongoDB.
Los responsables dan por hecho que los atacantes han tenido acceso a los datos de conexión de los clientes y a través de la auditoría que están llevando a cabo han detectado accesos a los datos almacenados utilizando las credenciales que guardaban. Es decir, que ciertas bases de datos de sus clientes han sido volcadas (se desconoce si parcial o totalmente) por los intrusos.

Sobre las medidas que van a imponer a partir de ahora, anuncian la imposición de un sistema de doble autenticación, acceso exclusivo a través de VPN y la dotación de permisos graduales basados en el mínimo privilegio necesario. Además planean cifrar el contenido importante que administren las aplicaciones.
Resulta evidente que este anuncio de medidas es equivalente a decir que carecían de ellas. No es fácilmente digerible que una arquitectura que almacena datos, supongamos muy valiosos, de terceros no tuviera ya una rigidez y fiabilidad desde el punto de vista de la seguridad. Sorprende sobre todo el último punto, que no tuvieran establecido un sistema de credenciales basados en el mínimo privilegio, algo básico.
Otro de los puntos reseñables en el comunicado es la invalidación de credenciales de Amazon Web Services que sus clientes tenían almacenadas en MongoHQ. Dichas cuentas eran usadas para realizar copias de respaldo en la infraestructura S3 de Amazon.
Por supuesto, como primera medida a tomar, aconsejan cambiar las credenciales de acceso a los servicios.
MongoHQ irá comunicando, a medida que aparezcan nuevos hallazgos, información sobre el incidente.
Más información:
MongoHQ Security Breach
bcrypt
David García
Twitter: @dgn1729
No nos acabamos de recuperar de lo del sitio de PHP y ahora esto. Estamos en la calle !Que inseguridad!