https://www.opennet.me/openforum/vsluhforumID3/116773.html Исследователь безопасности Боб Дьяченко (Bob Diachenko) <br>обнаружил (https://securitydiscovery.com/800-million-emails-leaked-online-by-email-verification-service/) наличие неограниченного доступа к БД, включающей сведения о 800 млн email-адресов (размер загруженных данных - 150 ГБ). Помимо email более 4 млн<br>записей также содержали номер телефона и такие сведения, как область деятельности, адрес, ФИО, пол, IP-адрес и время последней активности.<br>Выборочная проверка показала, что это новая отдельно собранная база, а не просто компоновка информации на основе других утечек адресов.<br><br><br><br>Утечка вызвана ошибкой при настройке СУБД MongoDB, в результате которой доступ к БД не был ограничен и данные были выставлены для всего интернета без аутентификации. Данные были собраны компанией Verifications.io, предоставляющей для предприятий сервис по подтверждению email-адресов перед отправкой массовых рассылок. Примечательно, что это не первая подобная находка Боба Дьяченко, прошлой осенью он выявил (https://www.opennet https://www.opennet.me/openforum/vsluhforumID3/116773.html#91 Fri, 05 Mar 2021 11:44:59 GMT &gt; ну, короче, добрый совет - рассматривай ее в виде виртуалки (благо, ресурсов <br>&gt; нужно минимум).<br>&gt; И на каждое, сц-ко, _каждое_ мельчайшее изменение конфигурации - снапшот.<br>&gt; Потому что она имеет такое прекраснейшее свойство, эту самую конфигурацию внезапно терять <br>&gt; или портить, причем непонятно, почему.<br>&gt; Ну и добро пожаловать в XXI век - когда конфигурация делается тысячекратным <br>&gt; мышекликаньем, но поручить это дело неграм нельзя, потому что они не <br>&gt; смогут написать запрос.<br><br>А если смотреть глубже то в веб все переносят.На луркморе были правы.Планшеты-терминалы и ВЭБ)<br> https://www.opennet.me/openforum/vsluhforumID3/116773.html#90 Fri, 15 Mar 2019 01:17:01 GMT &gt; Без этой базы мне эта новость нафиг не нужна <br><br>Тоже об этом подумал)<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/116773.html#89 Wed, 13 Mar 2019 19:08:54 GMT &gt;это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, размещенных где-то хз где, "зато дешево".<br><br>Вы админку Амазона хоть раз видели? По умолчанию в ней доступ ко всем сервисам закрыт и чтобы открыть монгу наружу - надо специально это сделать. Но виноваты конечно облака и контейнеры.<br> https://www.opennet.me/openforum/vsluhforumID3/116773.html#88 Tue, 12 Mar 2019 14:31:53 GMT &gt; и себе смотри доступ не отруби, это типовая ошибка начинающих монговодов ;-)<br><br>http://www.opennet.ru/openforum/vsluhforumID3/116773.html#83 - во, первый пришел ;-)<br><br> https://www.opennet.me/openforum/vsluhforumID3/116773.html#87 Tue, 12 Mar 2019 14:28:57 GMT &gt; security:<br>&gt; authorization: enabled<br><br>молодец, заявление по собственному желанию сам напишешь, или на тебя компании подать в суд, для получения компенсаций за потерянную выгоду, поскольку ты вот сейчас сломал нахрен доступ (и себе заодно, поскольку про bypass вспомнил уже потом, да и есть ли там локальный клиент или доступ к репо для его установки - не факт, так что починить уже ничего не сможешь) ? <br><br>вот так оно у любителей простых решений всегда и бывает.<br><br> https://www.opennet.me/openforum/vsluhforumID3/116773.html#86 Tue, 12 Mar 2019 14:13:59 GMT &gt; Во всяком случае из текущего комментария прекрасно видно, что монгой ты не то что не<br>&gt; пользовался - ты даже мануала в край глаза ни разу не просмотрел.<br><br>у нее есть мануал? Ну посмешили. У нее есть невразумительная гуановика (с неочевидным, кстати, доступом к устаревшим версиям), порезанная на странички доступного пониманию девляпсьего мозжечка размера, поэтому как только ты пытаешься разобраться в чем-то сложном - у тебя мгновенно окажется два десятка открытых табов, из которых, конечно, ты рано или поздно извлечешь нужную и полезную копипасту, но объяснения концепций - не для ее авторов.<br>Так что копируй сразу со stackoverflow, там оно хотя бы в одном месте.<br><br>&gt; Потому что если бы ты взял пару тройку часов на ознакомление - то этого хватило бы что-бы знать<br>&gt; что связь нод в кластере монго идет с использованием ключей или x509 сертификатов.<br><br>или идет без всяких сертификатов, как оно у всех кто ей на самом деле пользуется, а не вику почитал с пятого на десятое или учебную среду развернул на коленках, и https://www.opennet.me/openforum/vsluhforumID3/116773.html#85 Tue, 12 Mar 2019 13:49:23 GMT &gt; Знаешь пох, я таки понял почему ты пишешь во всех подряд <br>&gt; новостях - это потому что ты НИХРЕНА ни о чем не знаешь.<br><br>&#171;Здесь так принято!&#187;.<br>&gt; я таки понял<br><br>На третий день Зоркий Глаз заметил, что у сарая нет одной стены ))<br> https://www.opennet.me/openforum/vsluhforumID3/116773.html#84 Tue, 12 Mar 2019 11:18:25 GMT &gt; ну в целом так и есть - с поправкой что если бы <br>&gt; ты манд...монгу использовал так же как, в большинстве случаев, mysql, то <br>&gt; так же просто было бы закрыть.<br>&gt; например, как и mysql на большинстве васян-хостов, просто не слушать сеть кроме <br>&gt; 127.0.0.1 <br>&gt; а когда начинается то, где монгу заменить можно только таким же уг <br>&gt; - т.е, отказоустойчивые кластеры, может быть с шардингом - тут сразу <br>&gt; все становится очень грустно, и сразу понимаешь, что придумывали все это <br>&gt; незамутненные личности, уверенные что их данные никому не нужны.<br><br>Знаешь пох, я таки понял почему ты пишешь во всех подряд новостях - это потому что ты НИХРЕНА ни о чем не знаешь.<br>Во всяком случае из текущего комментария прекрасно видно, что монгой ты не то что не пользовался - ты даже мануала в край глаза ни разу не просмотрел.<br>Потому что если бы ты взял пару тройку часов на ознакомление - то этого хватило бы что-бы знать что связь нод в кластере монго идет с использованием ключей или x509 сертификатов. Внезапно, да? Наш похуеват https://www.opennet.me/openforum/vsluhforumID3/116773.html#83 Tue, 12 Mar 2019 11:07:28 GMT &gt; В MySQL / Mariadb открыть такой доступ геморой, а в MongoDB видимо <br>&gt; закрыть такой доступ геморой -_-" <br><br>Ононим такой ононим. Если не знаешь как настраивается доступ в Монге - не открывай свою пасть. Ведь она тебе нужна только что бы есть.<br><br>И нет, никакого геморроя нет: всего одна строчка в конфиге в разделе безопасности.<br>security:<br> authorization: enabled<br><br>Ну, параноики еще могут настроить строгую привязку к сетевым интерфейсам и отключение обхода авторизации при локальном (127.0.0.1) доступе.<br>Это тоже по одной строчке.<br><br>net:<br> bindIp: "тут оставить только нужный интерфейс"<br>setParameter:<br> enableLocalhostAuthBypass: false<br><br>Собственно все - теперь вы кроме как с логином\паролем никак к БД не подключитесь.<br>