Aviso de segurança do MongoDB

 (mongodb.com)
2 pontos por GN⁺ 2023-12-18 | 1 comentários | Compartilhar no WhatsApp

Aviso de segurança do MongoDB

  • O MongoDB está enfrentando problemas de login no Atlas e no portal de suporte devido ao aumento nas tentativas de login. Isso não está relacionado a um incidente de segurança, e recomenda-se que, caso haja dificuldade para entrar, a tentativa seja feita novamente após alguns minutos.
  • O MongoDB está investigando um incidente de segurança que inclui acesso não autorizado a determinados sistemas corporativos. Como resultado, metadados de contas de clientes e informações de contato foram expostos. Atividades suspeitas foram detectadas na noite de quarta-feira, e os procedimentos de resposta a incidentes foram ativados imediatamente. Até o momento, não há conhecimento de exposição de dados de clientes armazenados no MongoDB Atlas, mas recomenda-se que os clientes fiquem atentos a ataques de engenharia social e phishing, ativem autenticação multifator (MFA) resistente a phishing e alterem regularmente as senhas do MongoDB Atlas.

Sobre integridade de dados

  • Um problema de inserção em coleções de séries temporais fragmentadas pode fazer com que os documentos inseridos se tornem imediatamente órfãos, não sejam retornados por consultas e causem perda de dados.
  • Uma condição de corrida no mongosync 1.5 pode fazer com que algumas operações de escrita da origem não sejam replicadas para o destino. Recomenda-se atualizar para a versão 1.6 ou superior.
  • Um problema no mecanismo de armazenamento pode fazer com que backups incrementais do Ops Manager e do Cloud Manager fiquem inconsistentes, e clusters restaurados a partir de backups incrementais afetados podem falhar devido a erros de checksum.

Sobre operações

  • O cache dos resultados de dbhash pode causar inconsistências entre os servidores de configuração de clusters fragmentados.

Sobre segurança

  • Informações sensíveis podem ser registradas no modo de depuração do Atlas Operator.
  • Alguns drivers do MongoDB podem publicar eventos que incluem dados relacionados à autenticação em listeners de comandos configurados pela aplicação.
  • Podem ocorrer problemas de validação de certificados quando o servidor MongoDB é executado no Windows ou macOS com TLS configurado.

Opinião do GN⁺:

  • O ponto mais importante deste texto é que o MongoDB está investigando ativamente o incidente de segurança recente e recomendando que os clientes adotem medidas de proteção.
  • Vários problemas relacionados à integridade de dados continuam sendo detectados, então os usuários do MongoDB devem monitorar essas questões com atenção.
  • Como incidentes de segurança podem ter impactos graves tanto para empresas quanto para usuários individuais, este texto traz informações especialmente relevantes e importantes para usuários do MongoDB.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-12-18
Comentários do Hacker News

  • Houve uma situação em que não foi possível acessar completamente a conta do Atlas e o portal de suporte. Todas as tentativas de autenticação do Mongo via Okta falharam, e a mensagem "The request contained invalid data." apareceu na tela de login. A autenticação também é necessária para usar o portal de suporte, o que dificulta obter ajuda em caso de falha na autenticação. Fica a dúvida se outros usuários também estão tendo problemas para acessar o dashboard. Mais tarde, a autenticação voltou a funcionar e foi possível acessar o dashboard.

  • Isso deixa claro que, na fase inicial da investigação, as informações podem ser limitadas, e informa que mais detalhes serão fornecidos depois. Essa abordagem é vista de forma positiva.

  • Mesmo que os clientes do Atlas não tenham sido afetados, ressalta-se que é natural haver preocupação após um anúncio tão forte sobre o site ou os canais de suporte. Embora de forma limitada por causa da mudança de licença para SSPL, um provedor independente de MongoDB DBaaS ofereceria redundância real. Há esperança de que o FerretDB consiga construir com sucesso uma alternativa viável.

  • É expressa a dúvida se está faltando contexto sobre a recomendação das equipes modernas de segurança de trocar regularmente a senha do MongoDB Atlas.

  • Foi recebido um alerta por e-mail da MongoDB sobre um incidente de segurança. Houve acesso não autorizado a alguns sistemas corporativos da MongoDB, e metadados de contas de clientes e informações de contato foram expostos. No momento, não há conhecimento de exposição de dados de clientes armazenados no MongoDB Atlas. Atividades suspeitas foram detectadas na noite de quarta-feira, e os procedimentos de resposta a incidentes foram ativados imediatamente. Acredita-se que o acesso não autorizado tenha ocorrido por um período antes de ser descoberto. As autoridades relevantes começaram a ser notificadas. Os clientes são orientados a tomar cuidado com engenharia social e ataques de phishing, ativar MFA resistente a phishing sempre que possível e trocar senhas regularmente. A MongoDB continuará atualizando mais informações em mongodb.com/alerts conforme a investigação avançar.

  • Faz uma piada: "Os dados estão seguros. Porque não os gravamos em disco."

  • Uma pessoa que nunca usou MongoDB se pergunta por que alguém o prefere a outros bancos de dados.

  • Pergunta sinceramente por que hoje em dia as pessoas ainda escolhem Mongo em vez de Postgres, deixando claro que não é contra dados em JSON.

  • Levanta a dúvida se a MongoDB ainda está indo bem ou se o entusiasmo em torno dela parece ter diminuído um pouco.