MongoHQ, firma que aloja y da soprte a usuarios de la base de datos MongoDB, ha emitido un comunicado en el que informa de una intrusión en sus servidores.

MongoDB es una base de datos NoSQL, programada en C++ y licenciada bajo GNU AGPL. MongoDB fue publicada por primera vez en 2009, su uso se encuentra bastante extendido en la industria.

Impacto del ataque
  • Técnicos de MongoHQ, el 28 de octubre, descubrieron accesos no autorizados a una aplicación interna orientada al soporte.
  • Los atacantes habían usado unas credenciales provenientes de una cuenta comprometida.
  • La aplicación interna permite acceder a información de cuentas, lista de bases de datos, direcciones de correo electrónico y las credenciales de los clientes en forma de hash utilizando el algoritmo bcrypt.

Investigación y respuesta al ataque.

  • La respuesta de MongoHQ fue detener los servicios implicados y proceder a efectuar un análisis forense y auditoría. Se han desactivado las cuentas de los técnicos y rehabilitado tras cambiar sus credenciales. También se han puesto en contacto con los clientes afectados directamente, al menos sobre los que tienen evidencia de que sus datos han sido accedidos.
  • Sobre las medidas que van a imponer a partir de ahora, anuncian la imposición de un sistema de doble autenticación, acceso exclusivo a través de VPN y la dotación de permisos graduales basados en el mínimo privilegio necesario. Además planean cifrar el contenido importante que administren las aplicaciones. Lo lamentable es que no tomaran estas medidas de seguridad antes del ataque.
  • Otro de los puntos reseñables en el comunicado es la invalidación de credenciales de Amazon Web Services que sus clientes tenían almacenadas en MongoHQ. Dichas cuentas eran usadas para realizar copias de respaldo en la infraestructura S3 de Amazon.
Recomendación
  • Por supuesto, como primera medida a tomar, aconsejan cambiar las credenciales de acceso a los servicios.
  • MongoHQ irá comunicando, a medida que aparezcan nuevos hallazgos, información sobre el incidente.
Más información
Fuente: Hispasec