СУБД MongoDB пользуется большой популярностью во всем мире, и ее охотно применяют такие гиганты как eBay, Foursquare и The New York Times. Но в последнее время все чаще можно услышать о том, что неправильно настроенная MongoDB стала причиной крупной утечки данных. От таких утечек пострадали сотни миллионов избирателей из США и Мексики, пользователи крупного сайта знакомств, а также же компании Microsoft, MacKeeper, Hello Kitty, OkHello, Slingo, iFit, Vixlet и Hzone. Хотя случившееся не является виной разработчиков MongoDB, они все же высказали свое мнение о проблеме.
За обнаружение большинства перечисленных утечек ответственен эксперт по информационной безопасности Крис Викери (Chris Vickery). Свой досуг он часто посвящает поиску уязвимых БД, не используя для этого практически ничего, кроме поисковика Shodan и смекалки. Стоит отметить, что сам создатель Shodan — Джон Мазерли (John Matherly) говорил о том, что из-за неправильной настройки MongoDB, в интернет «смотрят» множество баз данных, а суммарный объем уязвимой информации равняется 595,2 Тб.
Журналисты издания The Register решили поинтересоваться у разработчиков MongoDB, что они думают о происходящем. На их вопросы согласился ответить Келли Стирман (Kelly Stirman), вице президент MongoDB по стратегии. Стирман признал, что количество уязвимых БД «немного расстраивает» разработчиков, но подчеркнул, что сам Крис Викери пишет в своем блоге о том, что никаких проблем с безопасностью у MongoDB нет. Все проблемы пользователи создают себе сами, хотя MongoDB предоставляет им все средства для организации безопасности.
Келли Стирман
«Нужно лишь создать логин и пароль, все в буквальном смысле настолько просто», — говорит Стирман. — «Честно говоря, даже если вернуться на два года назад к MongoDB 2.6, с тех самых пор наш самый популярный установщик (RPM) не позволяет подключиться к MongoDB удаленно. Зачем люди отказываются от безопасности? Полагаю, это делается просто ради удобства».
Так что все эти серверы в интернете, которые широко открыты, либо работают на устаревшем софте, которому более двух лет, либо кто-то намеренно отключил механизмы защиты.
Также Стирман признает, что разработчики не фокусируются конкретно на безопасности MongoDB, но все-таки они стараются просвещать пользователей и клиентов компании относительно азов информационной безопасности.
«Мы не можем принудить их измениться, но можем научить их», — говорит Стирман.
В компании не считают, что постоянные новости об утечках данных могут повредить репутации MongoDB.
«СМИ хорошо справляются со своей работой и пишут, что никаких проблем в самом продукте нет, его функциональность в порядке, а людям просто нужно с большей ответственностью относиться к информации в своих системах», — заключил Стирман.
