Hệ thống cơ sở dữ liệu MongoDB trên toàn thế giới bị rò rỉ thông tin người dùng

Ngọc Phượng| 18/05/2019 17:51
Theo dõi ICTVietnam trên

Một nhà nghiên cứu phát hiện ra rằng, cơ sở dữ liệu MongoDB chứa thông tin về 275 triệu người ở Ấn Độ đã bị phát tán trên internet trong ít nhất hai tuần và do đó, nguy cơ bị tin tặc chiếm đoạt là 100%. Vì vậy, các chuyên gia bảo mật cảnh báo các doanh nghiệp sử dụng phần mềm MongoDB phải có cách xác thực phù hợp.

Passwordless MongoDB Database Exposes 275 Million Records

Theo Bleeping Computer, hiện nay vẫn chưa rõ ai là người sở hữu cơ sở dữ liệu MongoDB, bao gồm tên, ngày sinh, giới tính, số điện thoại di động, email, trình độ giáo dục, lĩnh vực chuyên môn, lịch sử việc làm, tiền lương và khu vực làm việc.

Sachin Raste, nhà nghiên cứu bảo mật tại eScan, một công ty chống vi-rút cho biết, lý do phổ biến nhất về đánh cắp dữ liệu trên MongoDB là do thiếu xác thực vì theo mặc định MongoDB là một mã nguồn mở. Về cơ bản, MongoDB không có hệ thống bảo mật cao và cho phép mọi người truy cập từ xa, vì vậy các tổ chức sử dụng cơ sở dữ liệu này cần cài đặt thêm các lớp xác thực để bảo mật dữ liệu".

Tin tặc chiếm quyền kiểm soát

Theo BleepingComputer, cơ sở dữ liệu bị phát tán được phát hiện vào ngày 1/5 bởi nhà nghiên cứu bảo mật Bob Diachenko. Khi không thể xác định được chủ sở hữu của dữ liệu, Bob Diachenko đã thông báo cho Nhóm ứng phó khẩn cấp máy tính ở Ấn Độ, hoặc CERT-In. Tuy nhiên, những cơ sở dữ liệu đó vẫn không thể được bảo vệ trong tuần tiếp theo. Theo báo cáo, nhóm tin tặc có tên là Unistellar, là nhóm nắm quyền kiểm soát cơ sở dữ liệu. Nhóm này đang yêu cầu một khoản tiền chuộc sau đó mới trả lại quyền kiểm soát cho chủ sở hữu.

Raste cho biết, để chiếm đoạt được cơ sở dữ liệu này là do máy chủ MongoDB không có các bước xác thực, giúp cho tin tặc có thể dễ dàng cài đặt phần mềm độc hại và đóng vai trò làm quản trị viên. Đây là cách mà nhóm Unistellar đã làm.

Biểu đồ dưới đây cho thấy tỷ lệ các cuộc tấn công do nhóm Unistellar nhắm vào các quốc gia khác nhau.

Vụ việc ở Ấn Độ không phải là trường hợp đầu tiên về cuộc tấn công vào MongoDB. Năm ngoái, Verifications.io, một nền tảng xác minh dữ liệu email, đã bị vi phạm dữ liệu làm lộ 763 triệu hồ sơ vì MongoDB không được bảo mật bằng mật khẩu.

Nhu cầu cao

Chương trình cơ sở dữ liệu MongoDB được sử dụng rộng rãi trên toàn thế giới. Lý do là vì MongoDB cung cấp hiệu suất cao, tính sẵn sàng cao và tự động mở rộng. Ngoài ra, MongoDB không có cấu trúc rõ ràng. Bất cứ khi nào một trường thông tin mới cần được thêm vào cơ sở dữ liệu, thông tin đó sẽ được tạo mà không ảnh hướng đến bộ cơ sở dữ liệu cũng như là không cần phải được thêm vào nhờ hệ thống ngoại tuyến hoặc cập nhập danh mục hệ thống trung tâm.

Các bước tăng cường bảo mật

Raste khuyên các tổ chức sử dụng MongoDB, nên thực hiện một số bước bảo mật, bao gồm:

  • Kiểm soát truy cập và thực thi xác thực
  • Cấu hình kiểm soát truy cập dựa trên vai trò
  • Mã hóa thông tin liên lạc
  • Mã hóa dữ liệu khi MongoDB không hoạt động
  • Hạn chế tiếp xúc với mạng internet

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Chuyển đổi số hướng tới phục vụ người dân trong kỷ nguyên mới
    Đất nước ta đang bắt đầu bước vào kỷ nguyên mới, kỷ nguyên vươn mình, kỷ nguyên thịnh vượng của dân tộc Việt Nam phát triển, giàu mạnh, kỷ nguyên của sự bứt phá, đổi mới mạnh mẽ, quyết liệt và cách mạng, dưới sự lãnh đạo của Đảng Cộng sản, hướng tới mục tiêu dân giàu, nước mạnh, xã hội xã hội chủ nghĩa, sánh vai với các cường quốc năm châu như Chủ tịch Hồ Chí Minh hằng mong đợi.
  • Gỡ điểm nghẽn khoán chi và thương mại hóa các kết quả nghiên cứu
    Ngày 17/2, Quốc hội thảo luận ở hội trường về Dự thảo Nghị quyết thí điểm một số chính sách tháo gỡ vướng mắc trong hoạt động khoa học, công nghệ và đổi mới sáng tạo.
  • Chiêu trò lừa đảo giả mạo ứng dụng thuế tiếp tục tái diễn
    Cục An toàn thông tin, Bộ TT&TT, vừa đưa ra cảnh báo về các thủ đoạn lừa đảo trực tuyến nổi bật trong tuần từ 10/2 - 16/2/2025). Trong đó, đặc biệt đáng chú ý là tình trạng một số đối tượng lừa đảo bằng hình thức gọi điện thoại, gửi tin nhắn đến người nộp thuế tự xưng là công chức thuế tại các chi cục thuế đề nghị cài đặt các ứng dụng của ngành thuế.
  • Đẩy mạnh hoạt động kinh doanh mảng SAP cho thị trường Nhật Bản
    Mới đây, FPT đã triển khai dự án FPT BTP Park với sự đồng hành của SAP Japan, công ty thành viên của SAP. Dự án này với mục tiêu mở rộng đội ngũ chuyên gia trong mảng này lên 1.000 người trong năm 2025 và 3.000 người tới năm 2027.‏
  • Các kỹ sư Trung Quốc sử dụng tre trong cây cầu vượt biển dài nhất thế giới như thế nào
    Nhóm nghiên cứu từ Viện nghiên cứu Nam Kinh, Trung Quốc đã phát triển các công nghệ xử lý tre thông minh, xanh hơn và bền hơn.
  • Ứng dụng hoạt hình 2D trong số hóa nội dung: Giải pháp tối ưu cho doanh nghiệp và giáo dục
    Trong bối cảnh công nghệ số phát triển mạnh mẽ, số hóa không chỉ là xu hướng mà còn là giải pháp thiết yếu giúp các tổ chức và doanh nghiệp truyền tải thông tin một cách hiệu quả và sáng tạo. Trong đó, video hoạt hình 2D đang trở thành công cụ đắc lực, giúp chuyển đổi những khái niệm phức tạp thành hình ảnh sinh động, dễ hiểu, tạo ra giá trị bền vững trong quản lý và kinh doanh. Mytoon tự hào là đơn vị chuyên cung cấp các giải pháp số hóa nội dung qua hoạt hình 2D, mang đến những sản phẩm sinh động, dễ hiểu và phù hợp với mọi đối tượng khán giả.
  • Ngã rẽ nào cho Meta
    Facebook đã khởi động kỷ nguyên truyền thông xã hội hiện đại vào đầu những năm 2000. Nhưng tham vọng mở rộng của công ty mẹ Meta trong thập kỷ qua không đạt được thành công như vậy. Tuy nhiên, công ty này vẫn đang cố gắng hiện thực hóa với sản phẩm mới nhất: robot hình người (humanoid robots).
  • Hàng nhập khẩu từ 1 triệu đồng trở xuống gửi qua chuyển phát nhanh quốc tế phải nộp VAT
    Theo Quyết định số 01/2025/QĐ-TTg ngày 3/1/2025 của Thủ tướng Chính phủ, từ 18/2/2025, hàng hóa nhập khẩu gửi qua dịch vụ chuyển phát nhanh quốc tế có trị giá hải quan trong định mức miễn thuế nhập khẩu theo quy định tại khoản 2 Điều 29 Nghị định số 134/2016/NĐ-CP (hàng hóa giá trị từ 1 triệu đồng trở xuống hoặc có số tiền thuế phải nộp dưới 100.000 đồng Việt Nam) và không thuộc mặt hàng phải có giấy phép nhập khẩu, kiểm tra chuyên ngành phải nộp thuế giá trị gia tăng (GTGT).
  • Meta chính thức công bố xây dựng tuyến ​​cáp quang biển kết nối 5 châu lục
    Dự án cáp quang biển mới nhất của Meta sẽ kéo dài hơn 50.000 km và kết nối 5 châu lục.
  • Đào tạo chuyên sâu kiến trúc sư, kỹ sư trưởng và cao cấp thiết kế vi mạch bán dẫn
    Phát triển các chương trình đào tạo chuyên sâu về thiết kế vi mạch là yếu tố then chốt để ngành công nghiệp vi mạch bán dẫn của Việt Nam có thể vươn lên mạnh mẽ trong khu vực và thế giới.
Hệ thống cơ sở dữ liệu MongoDB trên toàn thế giới bị rò rỉ thông tin người dùng
POWERED BY ONECMS - A PRODUCT OF NEKO