ประกาศด้านความปลอดภัยของ MongoDB
(mongodb.com)ประกาศด้านความปลอดภัยของ MongoDB
- MongoDB ประสบปัญหาในการล็อกอินเข้า Atlas และพอร์ทัลฝ่ายสนับสนุน เนื่องจากมีความพยายามเข้าสู่ระบบเพิ่มขึ้น ปัญหานี้ไม่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัย และหากคุณล็อกอินได้ยาก แนะนำให้ลองอีกครั้งหลังจากผ่านไปไม่กี่นาที
- MongoDB กำลังตรวจสอบเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการเข้าถึงระบบภายในบางส่วนของบริษัทโดยไม่ได้รับอนุญาต ส่งผลให้เมตาดาต้าของบัญชีลูกค้าและข้อมูลติดต่อถูกเปิดเผย บริษัทตรวจพบกิจกรรมที่น่าสงสัยในช่วงเย็นวันพุธและเปิดใช้กระบวนการตอบสนองต่อเหตุการณ์ทันที ขณะนี้ยังไม่พบว่าข้อมูลลูกค้าที่จัดเก็บใน MongoDB Atlas ถูกเปิดเผย แต่แนะนำให้ลูกค้าเฝ้าระวังการโจมตีแบบ social engineering และ phishing เปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) แบบป้องกันฟิชชิง และเปลี่ยนรหัสผ่าน MongoDB Atlas เป็นประจำ
เกี่ยวกับความถูกต้องสมบูรณ์ของข้อมูล
- ปัญหาในการแทรกข้อมูลลงใน time-series collection แบบ sharded อาจทำให้เอกสารที่ถูกแทรกกลายเป็น orphan ทันที ไม่ถูกส่งคืนโดยคำสั่ง query และอาจทำให้ข้อมูลสูญหายได้
- เนื่องจาก race condition ที่เกิดขึ้นใน mongosync 1.5 งานเขียนข้อมูลบางส่วนจากต้นทางอาจไม่ถูกจำลองไปยังปลายทาง แนะนำให้อัปเกรดเป็น 1.6 ขึ้นไป
- ปัญหาใน storage engine อาจทำให้ incremental backup ของ Ops Manager และ Cloud Manager ไม่มีความสอดคล้องกัน และคลัสเตอร์ที่กู้คืนจาก incremental backup ที่ได้รับผลกระทบอาจล่มเนื่องจาก checksum error
เกี่ยวกับการดำเนินงาน
- การแคชผลลัพธ์ของ dbhash อาจทำให้เกิดความไม่สอดคล้องกันระหว่าง configuration server ของ sharded cluster
เกี่ยวกับความปลอดภัย
- ข้อมูลที่ละเอียดอ่อนอาจถูกบันทึกลงล็อกเมื่อ Atlas Operator ทำงานในโหมดดีบัก
- ไดรเวอร์ MongoDB บางตัวอาจเผยแพร่ event ที่มีข้อมูลเกี่ยวกับการยืนยันตัวตนไปยัง command listener ที่แอปพลิเคชันกำหนดค่าไว้
- หากกำหนดค่า MongoDB server ที่ทำงานบน Windows หรือ macOS ให้ใช้ TLS อาจเกิดปัญหาในการตรวจสอบใบรับรองได้
ความเห็นของ GN⁺:
- ประเด็นสำคัญที่สุดของบทความนี้คือ MongoDB กำลังสืบสวนเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นล่าสุดอย่างจริงจัง และแนะนำให้ลูกค้าดำเนินมาตรการด้านความปลอดภัย
- มีการตรวจพบปัญหาหลายรายการที่เกี่ยวข้องกับความถูกต้องสมบูรณ์ของข้อมูลอย่างต่อเนื่อง ทำให้ผู้ใช้ MongoDB ควรติดตามปัญหาเหล่านี้อย่างใกล้ชิด
- เหตุการณ์ด้านความปลอดภัยอาจส่งผลกระทบร้ายแรงต่อทั้งองค์กรและผู้ใช้รายบุคคล ดังนั้นบทความนี้จึงมอบข้อมูลที่น่าสนใจและสำคัญอย่างยิ่งสำหรับผู้ใช้ MongoDB
1 ความคิดเห็น
ความเห็นจาก Hacker News
เกิดสถานการณ์ที่ไม่สามารถเข้าถึงบัญชี Atlas และพอร์ทัลซัพพอร์ตได้เลย ความพยายามทั้งหมดในการยืนยันตัวตน Mongo ผ่าน Okta ล้มเหลว และหน้าจอล็อกอินแสดงข้อความว่า "The request contained invalid data." การใช้งานพอร์ทัลซัพพอร์ตก็ต้องยืนยันตัวตนเช่นกัน จึงยากที่จะขอความช่วยเหลือเกี่ยวกับความล้มเหลวในการยืนยันตัวตน อยากทราบว่าผู้ใช้คนอื่นมีปัญหาในการเข้าถึงแดชบอร์ดด้วยหรือไม่ ต่อมาการยืนยันตัวตนกลับมาใช้งานได้อีกครั้ง และสามารถเข้าถึงแดชบอร์ดได้
กรณีนี้ชี้ให้เห็นอย่างชัดเจนว่าในช่วงเริ่มต้นของการสอบสวน ข้อมูลอาจมีอยู่อย่างจำกัด และแจ้งว่าจะมีการให้ข้อมูลเพิ่มเติมในภายหลัง มองว่าแนวทางแบบนี้เป็นเรื่องที่ดี
ย้ำว่าแม้ลูกค้า Atlas จะไม่ได้รับผลกระทบ หลังการประกาศครั้งใหญ่เกี่ยวกับเว็บไซต์หรือช่องทางซัพพอร์ต ผู้คนก็ย่อมกังวลได้ตามธรรมชาติ แม้จะมีข้อจำกัดจากการเปลี่ยนไลเซนส์เป็น SSPL แต่ผู้ให้บริการ MongoDB DBaaS อิสระก็น่าจะมอบความซ้ำซ้อนที่แท้จริงได้ หวังว่า FerretDB จะสร้างทางเลือกที่ใช้งานได้จริงสำเร็จ
สงสัยว่ามีบริบทบางส่วนหายไปหรือไม่ ว่าการเปลี่ยนรหัสผ่าน MongoDB Atlas เป็นประจำเป็นคำแนะนำของทีมความปลอดภัยสมัยใหม่จริงหรือไม่
ได้รับอีเมลแจ้งเตือนเกี่ยวกับเหตุการณ์ด้านความปลอดภัยจาก MongoDB มีการเข้าถึงโดยไม่ได้รับอนุญาตต่อบางระบบภายในองค์กรของ MongoDB และข้อมูลเมตาของบัญชีลูกค้ากับข้อมูลติดต่อถูกเปิดเผย ปัจจุบันยังไม่พบว่าข้อมูลลูกค้าที่เก็บไว้ใน MongoDB Atlas ถูกเปิดเผย ตรวจพบกิจกรรมที่น่าสงสัยในเย็นวันพุธและเปิดใช้กระบวนการตอบสนองต่อเหตุการณ์ทันที เชื่อว่าการเข้าถึงโดยไม่ได้รับอนุญาตนี้ดำเนินมาเป็นช่วงเวลาหนึ่งก่อนจะถูกค้นพบ ได้เริ่มแจ้งหน่วยงานที่เกี่ยวข้องแล้ว แนะนำให้ลูกค้าระวัง social engineering และการโจมตีแบบ phishing เปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) ที่ป้องกัน phishing ได้หากเป็นไปได้ และเปลี่ยนรหัสผ่านเป็นประจำ MongoDB จะอัปเดตข้อมูลเพิ่มเติมต่อไปที่ mongodb.com/alerts ตามความคืบหน้าของการสอบสวน
พูดติดตลกว่า "ข้อมูลปลอดภัย เพราะเราไม่ได้เขียนข้อมูลลงดิสก์"
คนที่ไม่เคยใช้ MongoDB มาก่อนสงสัยว่าทำไมผู้คนถึงเลือก MongoDB มากกว่าฐานข้อมูลอื่น
อยากรู้จริง ๆ ว่าทุกวันนี้ผู้คนยังเลือก Mongo แทน Postgres ด้วยเหตุผลอะไร ไม่ได้มีอคติต่อข้อมูลแบบ json แต่อยากรู้ด้วยความจริงใจ
ตั้งคำถามว่า MongoDB ยังทำได้ดีอยู่หรือไม่ และกระแสความตื่นเต้นเกี่ยวกับมันดูเหมือนจะซาลงไปบ้างหรือเปล่า