Fuite de données en raison de bases de données mal configurées

Plus de 39000 entreprises, dont au moins une française, victimes de la mauvaise configuration de leur base de données MongoDB. Le cas Français concerne 8 millions de clients d’un opérateur téléphonique hexagonal.

 On ne connait pas encore son nom, la CNIL enquête et l’ANSSI a pris en main l’alerte envoyée par 3 étudiants Allemands concernant les données sauvegardées dans la base de données de l’outil MongoDB d’un opérateur Français. Ce n’est pas le logiciel lui-même qui est fautif, mais la configuration modifiée par les administrateurs. Certains de ces « admins » ont modifié la méthode d’accès à l’application rendant accessible les bases de données des entreprises fautives, 39,890 exactement.

En France, l’ANSSI a été saisie. Un fournisseur d’accès à l’Internet était dans la liste des chercheurs de l’Université de Saarlandes. 8 millions de clients avec adresses et numéros de téléphones. Dans d’autres cas, en Allemagne par exemple, des noms, des adresses ou encore des données de carte de crédit et des courriers électroniques.

Des recherches plus précises ont dévoilé qu’il s’agissait d’instances des NoSQL-Datenbank MongoDB dont les Administrateurs n’avaient pas activé les mécanismes de sécurité de toute évidence élémentaires. Chez MondoDB, il est proposé aux administrateurs de relire le mode d’emploi et de ne pas modifier certains systèmes de sécurité sans un minimum de réflexion.