MongoDB piratée, des données de clients dans la nature

Dans son communiqué, MongoDB indique qu’une activité anormale a été détectée pour la première fois au cours du 13 décembre. L’entreprise ajoute que des mesures ont été prises immédiatement. Malheureusement, « nous pensons que cet accès non autorisé a eu lieu pendant un certain temps avant d'être découvert ».

Dans le billet initial, l’entreprise expliquait ne pas avoir connaissance d’une exposition des données stockées par les clients dans Atlas. Ce dernier est le produit phare de MongoDB, un service de base de données conçu pour les solutions cloud multiples et permettant notamment de faire le lien entre des informations stockées dans AWS, Azure et Google Cloud.

Cependant, en guise de précautions, plusieurs recommandations étaient faites, notamment de se montrer vigilant face à d’éventuelles tentatives d’attaque par ingénierie sociale et d’activer l’authentification à facteurs multiples. Un changement régulier des mots de passe sur Atlas était également suggéré.

Pas de faille a priori, mais des données dérobées

Dans une mise à jour publiée hier, il semble que MongoDB n’ait pas trouvé la moindre faille de sécurité dans ses produits à la suite de son examen. Ce qui vient bien sûr poser la question de l’accès des pirates à ses infrastructures : comment ont-ils procédé s’ils n’ont pas exploité de vulnérabilités existantes ? Il pourrait s’agir d’une attaque par harponnage (spearphishing), impliquant un phishing taillé spécifiquement pour atteindre une personne, le plus souvent un employé ayant d’utiles accréditations pour accéder à tout ou partie de l’infrastructure.

Concernant l’accès aux données, les nouvelles sont beaucoup plus mitigées. D’un côté, toutes les informations stockées dans Atlas sont intactes : « Il est important de noter que l'accès aux clusters MongoDB Atlas est authentifié via un système distinct des systèmes d'entreprise MongoDB, et nous n'avons trouvé aucune preuve que le système d'authentification des clusters Atlas ait été compromis ».

En revanche, il y a bien eu un accès non autorisé « à certains systèmes de l'entreprise qui contiennent des noms de clients, des numéros de téléphone et des adresses électroniques parmi d'autres métadonnées de comptes clients, y compris les journaux de système d'un client ».

Ce dernier a été prévenu et semble pour l’instant le seul dans ce cas. Mais même si un seul compte semble avoir été un peu plus compromis que les autres, des données se baladent désormais dans la nature et pourraient être utilisées pour d’autres tentatives de phishing, voire de harponnage.

Les conseils publiés samedi restent valables. MongoDB dit travailler avec les autorités compétentes et autres cabinets d’expertise. Les informations seront mises à jour sur la même page dès que l’entreprise en saura davantage.