Um novo incidente de segurança relacionado com uma configuração incorreta de uma base de dados MongoDB foi divulgado nas últimas semanas (via WeLiveSecurity). E por mais irónico que possa parecer, a vítima nesta ocasião é a Veeam, uma empresa que fornece soluções de backup, planos de recuperação contra desastres para ambientes virtuais e software para gestão inteligente de dados num ambiente virtual, físico e também na nuvem.
A descoberta foi divulgada pelo investigador Bob Diachenko, que encontrou uma base de dados de 200 GB aberta ao público e sem palavra-passe por pelo menos nove dias, que incluía uma grande quantidade de informações usadas, aparentemente, pela equipa de marketing da empresa.
Segundo o investigador, a base de dados continha mais de 445 milhões de registos com informações sobre o nome e sobrenome dos clientes, e-mails e endereços IP, além de detalhes das empresas, como o número de funcionários.
Depois de tanto o investigador como a página TechCrunch reportarem o incidente à empresa, a Veeam desativou o acesso da base de dados ao público. De acordo com um porta-voz da empresa, a Veeam está a investigar o acontecimento para tomar as ações necessárias.
Este não é o primeiro caso em que uma base de dados MongoDB configurada incorretamente fica aberta ao público. No mês passado, o mesmo investigador descobriu uma situação semelhante na qual foram expostos dados pessoais de mais de 2 milhões de pacientes de uma empresa de telemedicina do México.
Nos últimos anos foram vários os casos em que invasores se aproveitaram de situações nas quais os utilizadores que usavam bases de dados MongoDB deixaram, por erro, a configuração padrão, permitindo que cibercriminosos se aproveitassem dessas informações para realizar campanhas de extorsão. É importante mencionar que, em 2017, o MongoDB divulgou como configurar as suas bases de dados para evitar que essas informações privadas ficassem expostas na Internet, impedindo ataques de extorsão.
