Um novo incidente de segurança relacionado a uma configuração incorreta de um banco de dados MongoDB foi divulgado nas últimas semanas. E por mais irônico que possa parecer, a vítima nesse caso é a Veeam, uma empresa que fornece soluções de backup, planos de recuperação contra desastres para ambientes virtuais e software para gerenciamento inteligente de dados em um ambiente virtual, físico e também na nuvem.
A descoberta foi divulgada pelo pesquisador Bob Diachenko, que encontrou um banco de dados de 200 GB aberto ao público e sem senha por pelo menos nove dias, que incluía uma grande quantidade de informações usadas, aparentemente, pela equipe de marketing da empresa.
Segundo o pesquisador, o banco de dados continha mais de 445 milhões de registros com informações sobre o nome e sobrenome dos clientes, e-mails e endereços IP, além de detalhes das empresas, como o número de funcionários.
Depois que tanto o pesquisador como a página TechCrunch reportaram o incidente à empresa, a Veeam desativou o acesso do banco de dados ao público. De acordo com um porta-voz da empresa, eles estão realizando investigações sobre o que aconteceu para tomar as ações necessárias.
Este não é o primeiro caso em que um banco de dados MongoDB configurado incorretamente é aberto ao público. No mês passado, o mesmo pesquisador descobriu uma situação semelhante na qual foram expostos dados pessoais de mais de 2 milhões de pacientes de uma empresa de telemedicina do México.
Como destacamos na época, nos últimos anos foram vários os casos em que invasores se aproveitaram de situações nas quais os usuários que usavam bancos de dados MongoDB e por erro deixaram a configuração padrão, permitindo que os cibercriminosos se aproveitassem dessas informações para realizar campanhas de extorsão. É importante mencionar que, em 2017, o MongoDB divulgou como configurar seus bancos de dados para evitar que essas informações privadas sejam expostas na Internet e, assim, impedir ataques de extorsão.