The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Утечка 800 млн email через СУБД MongoDB сервиса подтверждения адресов

08.03.2019 09:47

Исследователь безопасности Боб Дьяченко (Bob Diachenko) обнаружил наличие неограниченного доступа к БД, включающей сведения о 800 млн email-адресов (размер загруженных данных - 150 ГБ). Помимо email более 4 млн записей также содержали номер телефона и такие сведения, как область деятельности, адрес, ФИО, пол, IP-адрес и время последней активности. Выборочная проверка показала, что это новая отдельно собранная база, а не просто компоновка информации на основе других утечек адресов.

Утечка вызвана ошибкой при настройке СУБД MongoDB, в результате которой доступ к БД не был ограничен и данные были выставлены для всего интернета без аутентификации. Данные были собраны компанией Verifications.io, предоставляющей для предприятий сервис по подтверждению email-адресов перед отправкой массовых рассылок. Примечательно, что это не первая подобная находка Боба Дьяченко, прошлой осенью он выявил похожую базу MongoDB, включающую 450 млн адресов.

  1. Главная ссылка к новости (https://securitydiscovery.com/...)
  2. OpenNews: Ошибка настройки MongoDB привела к утечке 445 млн email-адресов клиентов компании Veeam
  3. OpenNews: Релиз документо-ориентированной СУБД MongoDB 4.0
  4. OpenNews: Утечка параметров аутентификации через незащищённые серверы etcd
  5. OpenNews: Незащищённые Hadoop-серверы отдают более 5 Пб данных без аутентификации
  6. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mongodb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (87) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, asdasd (?), 10:02, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    В MySQL / Mariadb открыть такой доступ геморой, а в MongoDB видимо закрыть такой доступ геморой -_-"
     
     
  • 2.2, Аноним (2), 10:21, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +21 +/
    Веб-мартышки, сэр.
     
     
  • 3.4, Аноним (4), 10:27, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +40 +/
    Плевать на то что база жопой в интернет торчит, за то у нас куберннтис и микросервисы!
     
     
  • 4.19, Аноним (19), 17:06, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Докерки, кубернетисы и прочие графаны - уже давно синоним голого зада, торчащего в паблик.
     
     
  • 5.20, asand3r (ok), 17:57, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А графану-то за что?
     
     
  • 6.22, annual slayer (?), 19:48, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    он перечислил технологии за незнание которых его развернули на прошлом собеседовании на работу
     
  • 6.25, Онаним (?), 20:10, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А всё за тоже. brainlessware
     
     
  • 7.37, Q2W (?), 09:48, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А конкретика есть?
    А то я как раз думал рассмотреть эту графану.
     
     
  • 8.43, Аноним (43), 13:44, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так рассматривай, чего ты слушаешь всяких И зперечимсленного я щкпал только док... текст свёрнут, показать
     
  • 8.44, Аноним (43), 13:47, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    сцк, вечно я вместе с й tab нажимаю документации, а не статеек типа как за ... текст свёрнут, показать
     
  • 8.45, Аноним (45), 16:07, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Графана это вообще не про хранение данных, а их визуализацию Докер - отличная н... текст свёрнут, показать
     
  • 8.52, пох (?), 22:22, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну, короче, добрый совет - рассматривай ее в виде виртуалки благо, ресурсов нуж... текст свёрнут, показать
     
     
  • 9.54, Онаним (?), 10:14, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот, дельный пост ... текст свёрнут, показать
     
  • 9.74, ворапдфр (?), 03:54, 11/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    конкретней можно о чем вы мыслю свою излагаете больше похоже на понос... текст свёрнут, показать
     
  • 4.27, Anonim (??), 21:13, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ненавидимый вами кубернетес как раз-таки требует явной конфигурации сервиса, который должен торчать наружу, к сведению. По умолчанию такого произойти не может by design.
     
     
  • 5.33, Аноним (4), 00:06, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Видимо комментарий был о том, что акцент делается не на архитектуру, при которой база не доступна снаружи. А на мусли-тренды, которые уделяют больше внимание не тому что нужно, а то что модно
     
     
  • 6.40, Лапчатый девляпс бубунтёнак (?), 10:47, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > не тому что нужно, а то что модно

    Тему раскрой. Просто в кубернетесе по умолчанию ничего не доступно снаружи. Ну, архитектура такая. Так это модно, или нужно?

     
     
  • 7.53, замзибор (?), 06:26, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно что вэб-мартишки думают, что кубернетис сделает все за них. Отсюда дефолтные настройки mongodb, отсюда база, торчащая в интернет, что легко сделать разворачивая кубернетис на голом железе
     
  • 7.55, Онаним (?), 10:16, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Раскрываю: взяли докерок, взяли кубернетю, взяли либо со стора либо вообще с какого-нибудь говнофорума имаж монги с шаблоном дефолтового конфига без пароля, задеплоили, профит. И даже думать не пришлось по пути.
     
     
  • 8.75, Лапчатый девляпс бубунтёнак (?), 11:09, 11/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просто бессмысленный вой Ну понятно С таким же подходом можно доверять только ... текст свёрнут, показать
     
  • 3.5, Аноним (5), 10:30, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Проблема в том, что это были С-гуру.
     
     
  • 4.23, annual slayer (?), 19:50, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    из личного опыта:

    видел бы баш скрипты или конфиги, написанные С-гуру вместо хотя бы миддла-сисадмина, который должен подобные писать

     
     
  • 5.32, Аноним (32), 23:54, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Видел как ужасные так и вполне нормальные, от знание СИ корреляции не заметил, но выборка < 50 сишников.
     
     
  • 6.79, annual slayer (?), 14:12, 11/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Видел как ужасные так и вполне нормальные, от знание СИ корреляции не
    > заметил, но выборка < 50 сишников.

    зато есть корреляция качества скриптов к тому, является их писатель админом или нет


    это как обсуждать С код написанный админами, у кого-то энжинкс выходит, а у кого-то совсем не то

     
  • 2.3, пох (?), 10:27, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну в целом так и есть - с поправкой что если бы ты манд монгу использовал так ... текст свёрнут, показать
     
     
  • 3.38, Лапчатый девляпс бубунтёнак (?), 10:39, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На себя посмотрел бы, де билл Они придумали всё это , а тебе выдали вантуз ... текст свёрнут, показать
     
     
  • 4.57, Онаним (?), 10:18, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В чём проблема хранить и даже успешно ворочать несколько терабайт в мускуле? Знаю, девляпсы его приготовить для этого не смогут, но в целом - вполне себе применение. Главное при этом - не просить от движка невозможного.
     
     
  • 5.60, arisu (ok), 10:44, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в том, что это делают только идиоты.
     
  • 4.61, пох (?), 11:04, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, ра... текст свёрнут, показать
     
     
  • 5.76, Лапчатый девляпс бубунтёнак (?), 11:11, 11/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Смысл сего воя - раньше трава была зеленее, они не такие как мы, и потому - виноваты.

    > дефолтное состояние свежепоставленного

    Ну... С тобой всё понятно. Держи нас в курске.

     
  • 5.89, Анонимус2 (?), 22:08, 13/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, размещенных где-то хз где, "зато дешево".

    Вы админку Амазона хоть раз видели? По умолчанию в ней доступ ко всем сервисам закрыт и чтобы открыть монгу наружу - надо специально это сделать. Но виноваты конечно облака и контейнеры.

     
  • 3.56, Онаним (?), 10:17, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это да. Уже лет 10 как понятно, что сервисный софт с низким порогом вхождения пора бы прикопать уже, но нет, тренд в обратную сторону.
     
  • 3.84, Аноним (84), 14:18, 12/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Знаешь пох, я таки понял почему ты пишешь во всех подряд новостях - это потому ... текст свёрнут, показать
     
     
  • 4.85, анонн (?), 16:49, 12/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Знаешь  пох, я таки понял почему ты пишешь во всех подряд
    > новостях - это потому что ты НИХРЕНА ни о чем не знаешь.

    «Здесь так принято!».
    > я таки понял

    На третий день Зоркий Глаз заметил, что у сарая нет одной стены ))

     
  • 4.86, пох (?), 17:13, 12/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у нее есть мануал Ну посмешили У нее есть невразумительная гуановика с неочев... текст свёрнут, показать
     
  • 2.18, microcoder (ok), 15:55, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А iptables уже отменили?
     
     
  • 3.29, Аноним (29), 22:08, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так это думать надо, готовый тяпляпбук не скачаешь.
     
     
  • 4.39, Лапчатый девляпс бубунтёнак (?), 10:43, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Шо? Не верю. Сам же пишу тяпляпбуки в большом количестве. Может ты это, ртфм сделай для начала?
     
  • 3.46, пох (?), 18:49, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так уже ж полгода как - правда, пока объявили deprecated еще учти что у тру-дев... текст свёрнут, показать
     
     
  • 4.80, Лапчатый девляпс бубунтёнак (?), 19:51, 11/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > виноваты хотелки обмазаться наисвежайшим

    И без докера ты это не умеешь? Молодец.

     
  • 3.65, КО (?), 19:33, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы будете смеяться, но он уже "не молодежно". :)
     
     
  • 4.72, microcoder (ok), 20:50, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы будете смеяться, но он уже "не молодежно". :)

    Наверное я отстал от жизни. Что сегодня модно вместо iptables?

     
     
  • 5.73, пох (?), 22:10, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вместо - nft. Но nft приличные люди давно уже не носют, нам нужно больше трэша и угара - поэтому теперь мы переписываем все через байткод для bpf!

     
  • 2.41, Лапчатый девляпс бубунтёнак (?), 10:50, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О, ещё один, выставляющий базы наружу. У нас такое в впн заворачивают, вообще-то.
     
     
  • 3.47, пох (?), 18:54, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    на каждом амазонском инстансе у тебя по vpn'у? И как там монга - не тормозит?

    P.S. у меня 15 лет mysql принимал соединения снаружи (пока таки не был выкинут и заменен sqlite плюс самодельная репликация - это оказалось проще чем нормальная работа его внутренних уродливых костылей, да и sqlite нынче совсем другой пошел) - что я делал не так?

    Вот авторы - они да, многое делали не так, как сейчас принято. Начиная от почти нормальной (да великолепной, на самом деле, по меркам того 99го года) аутентификации без гнилых openssl оберток, и заканчивая встроенной поддержкой libwrap'а.

     
     
  • 4.77, Лапчатый девляпс бубунтёнак (?), 11:12, 11/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я там где-то выше писал о том, что внутреннее - внутри, а наружнее - снаружи. Возможно внутренняя сеть у тебя - интернет?
     
     
  • 5.78, пох (?), 11:29, 11/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а, ну тогда просто подожди - придет тимлид разработчиков и прикажет немедля перенести все в облачко мэйлcpy, пятнадцать минут на разобраться и доложить об успешном выполнении, все давно уже так работают, он уже доложил начальству о существенной экономии ресурсов - кстати, ставку админа сокращают.

    У меня-то еще много чего не как у тебя, ну так - я устаревший ненужный мамонт, ненавистник современных технологий и бревно на пути прогресса, меня еще несколько лет ничего из этих радостей не коснется. Девляпсы - они в соседнем отделе, их поломают - я вроде и ни при чем.

     
     
  • 6.81, Лапчатый девляпс бубунтёнак (?), 20:03, 11/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты просто не на месте, вот и истекаешь жёлчью. Бросай эти линуксы, иди на мсдн(и/или нaфиг) и делай то, что тебе нравится. А тем временем девляпсы продолжат развиваться своим, интересным им путём.
    Например я девляпсил ещё задолго до появления данного термина, паковал корни гент с приложениями в squashfs и раскидывал скриптами по сервакам. Когда появился доцкер и начал работать, то я вздохнул с облегчением и выкинул свои скрипты.
    Экономить ресурсы, кстати, тоже надо. И админа заменить на сотню ансибиль-прейбуков - тоже надо. И перейти с бензина на аккумуляторы, с вантузомакакоси на любой линукс. С виртуалок - на контейнеры(хотя были у меня юзкейсы, связаные с конкретными версиями ведра, там виртуалки незаменимы).
    В общем - nox лает, караван ползёт. Не так быстро, как хотелось бы, но ползёт.
     
     
  • 7.82, пох (?), 13:20, 12/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты просто не на месте, вот и истекаешь жёлчью.

    я-то как раз на своем месте, оно к девляпсам с гентами и лепке костылей на squashfs отношения не имеет. (кстати, девляпса найти не можем - а он тут тоже нужен. Унылятина одна приходит, вообще ничего не умеющая - а я за них горшок выносить не планирую.)

    > Бросай эти линуксы, иди на мсдн(и/или нaфиг) и делай то, что тебе нравится.

    мне людей убивать нравится, но профессия палача нынче, увы, плохо востребованна в цивилизованном мире (незаслуженно плохо, я бы сказал). https://rtvi.com/news/na-shri-lanke-otkrylas-vakansiya-palacha/ - сюда подаваться бестолку, они говорят - нужен native, иначе карма сильно портится.
    Кстати, у них вакансия уже пять лет не закрыта, все привередничают, от хороших кандидатов нос воротят.

    > доцкер и начал работать, то я вздохнул с облегчением и выкинул
    > свои скрипты.

    а когда он тебе первый раз разнес файловую систему через чудесный aufs - просто пошел искать новую работу, да?

    > Экономить ресурсы, кстати, тоже надо. И админа заменить на сотню ансибиль-прейбуков -

    тогда новую работу пойдет искать вся контора, начиная с CTO. Скорее рано чем поздно.

    > тоже надо. И перейти с бензина на аккумуляторы

    о да, о да. Вот тут ты в тренде, явно не понимая, каком.

    > В общем - nox лает, караван ползёт. Не так быстро, как хотелось
    > бы, но ползёт.

    да, увы, до прекрасного дня массового переползания через край пропасти еще далеко, а отдельные торопыги не так смешны. Подумаешь, 800000000 адресов, какая такая приватность в эпоху интернета (c)Блинн.


     
  • 2.42, SubGun (ok), 11:56, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по всему - это облако. У нормальных людей БД наружу не торчит, только API.
     
     
  • 3.58, Онаним (?), 10:21, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот у них API самой монги и торчало, муахаха. Видимо, решили, что DB API - тоже API.
     
     
  • 4.62, пох (?), 11:06, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну вот у них API самой монги и торчало, муахаха. Видимо, решили,
    > что DB API - тоже API.

    mongo as a service, чо не так-то? ;-)

     
  • 2.63, Michael Shigorin (ok), 15:12, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И когда особо одарённая вендурь научится поставлять своё поделие сконфигурированным на localhost по умолчанию (да, с внятно документированной ручкой, но чтоб её ручкой надо было повернуть)...

    Недаром у нас сервисы массово закручивались именно в такое изкоробочное положение ещё в начале века.

    PS: комментарии про незавидное состояние белогриволошадных прочитал позже -- ну ой, этим остаётся страдать.

     
     
  • 3.66, КО (?), 19:36, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >сконфигурированным на localhost по умолчанию

    Михаил, но ведь за это объявят "админом локалхоста". :)

     
     
  • 4.67, Michael Shigorin (ok), 20:09, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> сконфигурированным на localhost по умолчанию
    > Михаил, но ведь за это объявят "админом локалхоста". :)

    Придётся объяснить, какое значение изначально вложил в этот термин. :)

    (о применимости к причине новости сложно говорить с учётом неизвестности мне того, так что там с инстансами было в данном разе, ну и полного отсутствия личного опыта работы с монгой)

     
     
  • 5.69, пох (?), 20:17, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    с инстансами в этом разе, очевидно, все было, потому что 150g ценных для перепродажи данных никто не хранит в одном экземпляре, даже если чисто технически и возможно.

    потому что даже просто развернуть их из бэкапа займет очень даже продолжительное время, в течении которого вся система полежит.

     
  • 3.68, пох (?), 20:14, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Миша, оно так не работаит - в смысле, ее не для того ставят, чтобы она локалхвостом виляла. Это для redis еще туда-сюда применение, и то если его совсем не жалко (а то появляется slave, и понеслась)

    Поэтому первое, что сделают с подобной хренью - это перекрутят ручку на 0.0.0.0, чтоб ей вообще можно было как-то пользоваться.
    А потом будут думать, а что ж блин бы с ней такое придумать, чтобы оно еще и не весь интернет пускало к себе в гости. Про банальный tcpd - афтары не, не слышали.

    А на локалхвостовых установках пофигу, что оно там слушает и слушает ли вообще, там все одно ничего ценного быть не может.

     
     
  • 4.71, Michael Shigorin (ok), 20:21, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Миша, оно так не работаить - в смысле, ее не для того
    > ставят, чтобы она локалхвостом виляла.

    Я про изкоробку, ну и #61 затем прочитал -- сочувствую.

     
  • 2.83, Аноним (84), 14:07, 12/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В MySQL / Mariadb открыть такой доступ геморой, а в MongoDB видимо
    > закрыть такой доступ геморой -_-"

    Ононим такой ононим. Если не знаешь как настраивается доступ в Монге - не открывай свою пасть. Ведь она тебе нужна только что бы есть.

    И нет, никакого геморроя нет: всего одна строчка в конфиге в разделе безопасности.
    security:
      authorization: enabled

    Ну, параноики еще могут настроить строгую привязку к сетевым интерфейсам и отключение обхода авторизации при локальном (127.0.0.1) доступе.
    Это тоже по одной строчке.

    net:
      bindIp: "тут оставить только нужный интерфейс"
    setParameter:
      enableLocalhostAuthBypass: false

    Собственно все - теперь вы кроме как с логином\паролем никак к БД не подключитесь.

     
     
  • 3.87, пох (?), 17:28, 12/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > security:
    >  authorization: enabled

    молодец, заявление по собственному желанию сам напишешь, или на тебя компании подать в суд, для получения компенсаций за потерянную выгоду, поскольку ты вот сейчас сломал нахрен доступ (и себе заодно, поскольку про bypass вспомнил уже потом, да и есть ли там локальный клиент или доступ к репо для его установки - не факт, так что починить уже ничего не сможешь) ?

    вот так оно у любителей простых решений всегда и бывает.

     

  • 1.6, Аноним (6), 10:34, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Без этой базы мне эта новость нафиг не нужна
     
     
  • 2.7, Аноним (7), 10:49, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сколько лет будешь выкачивать?
     
     
  • 3.12, Аноним (12), 12:20, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если провайдер позволит то 0,000237823439878 лет
     
     
  • 4.28, У (?), 21:22, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    150 Гб за 2 часа? ..жырненькый у вас интернетик.
     
     
  • 5.31, DiabloPC (ok), 22:39, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ыы
    При 1Gbps - ~850gb за 2 часа через канал пролетает...
    Taк шо можем считать что у человека канал ниже среднего
     
     
  • 6.34, Аноним (32), 00:44, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну хз плачу 200р за месяц через канал пролазит 5тб но шибко что то не качаю, так повседневное пользование. Ценник с белым  IP
     
     
  • 7.35, Аноним (35), 05:52, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То ли нолик забыл, то ли виртуалку арендуете где эти 150 гб и не разместить, то ли вы из волшебной страеы, скажите где купить билет в дивный интернет?
     
  • 5.59, Онаним (?), 10:22, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так чтоб это, 150 гиг за два часа, всего примерно 200 Mbps и надо-то. Это разве жырненький?
     
  • 2.36, Нанобот (ok), 09:42, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    если я правильно понял, чувак просто нашёл, написал владедьцу и те закрыли. даже если он и выкачал всю базу, то расшаривать её не собирается. так что утечка сильно преувеличена
     
     
  • 3.48, пох (?), 18:56, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    эх... я бы вот в такое зашел - не поленился бы заплатить $5, и стереть всю базу нахрен с какого-нибудь антикитайского vpn.

    что и надо делать каждый раз с такими уродцами.

    > даже если он и не выкачал всю базу

    нашлись другие, которые никому об этом рассказывать не будут. Поправил, не благодари.

     
  • 2.90, EgorData (ok), 04:17, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Без этой базы мне эта новость нафиг не нужна

    Тоже об этом подумал)


     

  • 1.8, Вадик (??), 11:20, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну что сказать, надо технически грамотных специалистов нанимать и тех долг закрывать вовремя. Проблема в том, что просто не настроили нормально сервера, вот в принципе и все. Если бы доступ был бы через какой-нибудь vpn такой проблемы бы автоматически не возникло бы. А они скорее всего тяп ляп, на голое железо/облако, без контейнеров херак и запустились. Т.е. в данном случае, если бы они всю инфраструктуру одного сервиса развесили бы на контейнере и пробросили бы доступ через какой-нибудь nginx, то спали бы спокойно с любой базой.
     
     
  • 2.10, Xasd5 (?), 11:47, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Если бы доступ был бы через какой-нибудь vpn

    а если бы пароль прставить на все СУБЛ?

    или требование -- обязательно всё нужно делать через одно (Ж) место?

     
     
  • 3.26, Онаним (?), 20:11, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какой пароль, вы о чём? кубернетесом докерок пнули, и забыли
     
  • 3.49, пох (?), 19:02, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а если бы пароль прставить на все СУБЛ?

    а вот ты нам сейчас и расскажешь, как в монге 2.4 это делается. Инстансах так на 101м ("следи же, чтобы число их было нечетно").
    А потом отдельно про 3.6 и отдельно - про особенности миграции кластеров с первой на вторую без остановки прода. 4.0 оставим на сладкое (про нее  я сам, к счастью, пока не очень в курсе)

    и не забыть описать что нужно делать программистам, причем вчера. Чтобы сегодня у них работало и до момента включения тобой ауфа, и после.

    и себе смотри доступ не отруби, это типовая ошибка начинающих монговодов ;-)

     
     
  • 4.88, пох (?), 17:31, 12/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > и себе смотри доступ не отруби, это типовая ошибка начинающих монговодов ;-)

    http://www.opennet.ru/openforum/vsluhforumID3/116773.html#83 - во, первый пришел ;-)

     
  • 2.15, Аноним (15), 14:25, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том, что монетизацию поставили на первое место.
     
  • 2.30, arisu (ok), 22:38, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вот примерно такой хипстор как ты там и занимался безопасностью.
     
     
  • 3.50, пох (?), 19:06, 09/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    такой там ниасилил, иначе бы оно, наверное, все же бы сработало, даже если "vpn" какой-нибудь совсем игрушечный - вполне достаточно невозможности коннекта снаружи к адресам, которых ты еще и не знаешь. Проблема что в 800терабайтовом монгокластере довольно непросто такой vpn построить.

    еще и лекарство может оказаться хуже самой болезни, обернувшись каким-нибудь heartbleed'ом

     

  • 1.11, Аноним (11), 12:03, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Магнит на дамп есть у кого?
    Друг спрашивает.
     
     
  • 2.64, Michael Shigorin (ok), 15:22, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Магнит на дамп есть у кого?
    > Друг спрашивает.

    До "друга" не дошла судьба того чувырлы из центра американского английского?

     
     
  • 3.70, пох (?), 20:18, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так пристрелили ж директора, а админ, поди, вон, новую работу нашел, с солидным увеличением оклада и охвата клиентов ;-)

     

  • 1.14, Аноним (14), 14:23, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Данные были собраны компанией Verifications.io, предоставляющей для предприятий сервис по подтверждению email-адресов перед отправкой массовых рассылок

    Зачем сервису для подтверждения email-ов их хранить? Или они деньги с продажи налево имели?

     
     
  • 2.16, Аноним (15), 14:26, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну а зачем еще нужна такая база - только торговать ПДн.
     

  • 1.17, Аноним (17), 14:39, 08/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Here is the scenario 8220 Mr Threat Actor 8221 has a list of 1000 companie... текст свёрнут, показать
     
     
  • 2.24, annual slayer (?), 20:00, 08/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Each one of the users on the list gets their own spam message saying “hi”. Then the threat actor gets a cleaned, verified, and valid list of users at these companies.

    и так скомненько опустили часть между "hi" и "Then"

     

  • 1.51, Аноним (51), 21:47, 09/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    То-то нам спам последний месяц посыпался.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру