MongoDB Hacks कई डेटा उल्लंघनों का नेतृत्व करता है

Posted on by talktosonic

कई डेटा उल्लंघनों को सबसे बुनियादी सावधानी बरतने में विफलता का परिणाम है। यहाँ कई हैं जो किया गया है की सूचना दी भूतकाल में:

  • गेराज बिक्री के सौदे: एक गेराज बिक्री ग्राहक ने सामाजिक सुरक्षा संख्या और घर के पते सहित व्यक्तिगत डेटा के साथ एक फाइलिंग कैबिनेट खरीदा।
  • किसी कर्मचारी की कार में पहुँचाया जाने वाला संवेदनशील डेटा: एक संगठन ने अपने डेटा ब्रीच तैयारियों का आकलन करने के लिए अपनी वार्षिक कवायद की। फिर भी परीक्षण डेटा का उपयोग करने के बजाय, वास्तविक डेटा को एक कर्मचारी की कार में रात भर छोड़ दिया गया और मालिक के पसंदीदा के साथ सबसे अधिक चोरी हो गई रिक एशले सीडी।
  • एक महत्वपूर्ण श्रृंखला पर अंगूठे ड्राइव: फ्लैश ड्राइव महान पोर्टेबल डिवाइस हैं, लेकिन वे विशेष रूप से उस समय के छल्ले पर नहीं होते हैं जब डेटा एन्क्रिप्ट नहीं किया जाता है। यह आपको आश्चर्यचकित करता है कि किसकी कीमत अधिक है, प्रतिस्थापन कुंजी fob या डेटा ब्रीच!

यह अच्छा होगा यदि ये अलग-थलग घटनाएँ थीं, लेकिन सच्चाई यह है कि कई लोगों के लिए, सुरक्षा अभी भी एक सोच है। केवल डेटाबेस पर विचार करें, वे साइबर अपराधियों के लिए सबसे लोकप्रिय लक्ष्यों में से एक हैं। फिर भी, कुछ प्रशासक उन्हें सुरक्षित करने के लिए सबसे बुनियादी नियंत्रणों को लागू करने में विफल रहते हैं। एक उदाहरण के रूप में, MongoDB के पुराने संस्करण किसी भी तरह के प्रमाणीकरण को लागू नहीं करते हैं, जो एक डरावना विचार है, यह देखते हुए कि MongoDB सॉफ्टवेयर में 20 मिलियन से अधिक डाउनलोड हुए हैं। इस साल की शुरुआत से, इन डिफ़ॉल्ट इंस्टॉल के हजारों, असुरक्षित MongoDBs हमले के लिए लक्षित हैं। पर एक त्वरित खोज Shodan कई संभावित लक्ष्य देता है।

हमलावर केवल प्रमाणीकरण की कमी का फायदा उठाते हैं, मूल डेटाबेस को हटाते हैं, और फिरौती के लिए इसकी एक प्रति रखते हैं।

इसी तकनीक का उपयोग भंग करने के लिए भी किया गया था CloudPets डेटाबेस और 800,000 से अधिक खातों से एक लाख से अधिक रिकॉर्ड चोरी। बहुत सी टूटी हुई सूचनाओं में सैकड़ों हजारों नाबालिग बच्चों के डेटा शामिल थे, जिनमें उनके नाम, लिंग और जन्मतिथि शामिल थे।

इस प्रकार की गलतियों की कीमत क्या है? 2016 के पोनोमोन इंस्टीट्यूट के डेटा ब्रीच अध्ययन की रिपोर्ट है कि औसत समेकित कुल लागत $ 4 मिलियन डॉलर प्रति ब्रीच है। HIPAA उल्लंघन अधिकतम $ 1.5 मिलियन डॉलर प्रति उल्लंघन के लिए हो सकता है। फेडरल ट्रेड कमीशन एक्ट के तहत, वे संगठन जो ई.यू. की प्रतिबद्धताओं का पालन करने में विफल रहते हैं। गोपनीयता शील्ड सिद्धांत प्रति उल्लंघन $ 40,000 डॉलर प्रति दंड या $ 40,000 डॉलर प्रति दिन के दंड के अधीन हो सकता है।

मूलभूत नियंत्रणों को लागू करना जैसे कि डिफ़ॉल्ट पासवर्ड बदलना, डेटा एन्क्रिप्ट करना, और पैचिंग सिस्टम न्यूनतम स्तर की सुरक्षा प्रदान करने की दिशा में एक लंबा रास्ता तय कर सकते हैं। कभी-कभी “छोटी चीजें” “बड़ी समस्याओं” को रोक सकती हैं!