MongoDB güvenlik duyurusu

 (mongodb.com)
2 puan yazan GN⁺ 2023-12-18 | 1 yorum | WhatsApp'ta paylaş

MongoDB güvenlik duyurusu

  • MongoDB'de artan oturum açma denemeleri nedeniyle Atlas ve destek portalı girişlerinde sorun yaşanıyor. Bunun bir güvenlik olayıyla ilgili olmadığı belirtiliyor; giriş yapmakta sorun yaşıyorsanız birkaç dakika sonra tekrar denemeniz öneriliyor.
  • MongoDB, belirli kurumsal sistemlere yetkisiz erişimi içeren bir güvenlik olayını araştırıyor. Bu nedenle müşteri hesap meta verileri ve iletişim bilgileri açığa çıktı. Çarşamba akşamı şüpheli etkinlik tespit edildi ve olay müdahale prosedürleri hemen devreye alındı. MongoDB Atlas'ta saklanan müşteri verilerinin açığa çıktığına dair şu ana kadar bir bulgu yok; ancak müşterilere sosyal mühendislik ve oltalama saldırılarına karşı dikkatli olmaları, oltalamaya dayanıklı çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri ve MongoDB Atlas parolalarını düzenli olarak değiştirmeleri öneriliyor.

Veri bütünlüğüyle ilgili

  • Parçalanmış zaman serisi koleksiyonlarına ekleme sorunları nedeniyle eklenen belgeler hemen orphan durumuna düşebilir, sorgular tarafından döndürülmeyebilir ve veri kaybı oluşabilir.
  • mongosync 1.5'te ortaya çıkan bir yarış durumu nedeniyle kaynaktaki bazı yazma işlemleri hedefe kopyalanmayabilir. 1.6 veya üstüne yükseltme öneriliyor.
  • Depolama motoru sorunu nedeniyle Ops Manager ve Cloud Manager'daki artımlı yedeklemeler tutarsız hale gelebilir; etkilenen artımlı yedeklerden geri yüklenen kümeler checksum hataları nedeniyle çökebilir.

Operasyonlarla ilgili

  • dbhash sonuçlarının önbelleğe alınması nedeniyle parçalanmış küme yapılandırma sunucuları arasında tutarsızlık oluşabilir.

Güvenlikle ilgili

  • Atlas Operator'un debug modunda hassas bilgiler günlüğe kaydedilebilir.
  • Bazı MongoDB sürücüleri, uygulama tarafından yapılandırılmış komut dinleyicilerine kimlik doğrulamayla ilgili veriler içeren olaylar yayımlayabilir.
  • Windows veya macOS üzerinde çalışan MongoDB sunucusu TLS kullanacak şekilde yapılandırıldığında sertifika doğrulama sorunu yaşanabilir.

GN⁺ görüşü:

  • Bu yazıdaki en önemli nokta, MongoDB'nin yakın zamanda yaşanan güvenlik olayını aktif olarak araştırıyor olması ve müşterilere güvenlik önlemleri almalarını önermesidir.
  • Veri bütünlüğüyle ilgili çeşitli sorunlar sürekli tespit edildiğinden, MongoDB kullanıcılarının bu sorunları dikkatle izlemesi gerekiyor.
  • Güvenlik olayları hem kurumlar hem de bireysel kullanıcılar için ciddi etkiler yaratabileceğinden, bu yazı MongoDB kullanıcılarına özellikle ilgi çekici ve önemli bilgiler sunuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-12-18
Hacker News görüşleri

  • Atlas hesabına ve destek portalına hiç erişilemeyen bir durum yaşandı. Okta üzerinden Mongo kimlik doğrulama denemelerinin tamamı başarısız oldu ve giriş ekranında "The request contained invalid data." mesajı gösterildi. Destek portalını kullanmak için de kimlik doğrulama gerektiğinden, doğrulama hatası için yardım almak zordu. Diğer kullanıcıların da dashboard erişiminde sorun yaşayıp yaşamadığını merak ediyorum. Kimlik doğrulama daha sonra yeniden çalışmaya başladı ve dashboard erişimi mümkün oldu.

  • Bu örnek, ilk inceleme aşamasında bilgilerin sınırlı olabileceğini açıkça ortaya koyuyor ve daha sonra ek bilgi sağlanacağını belirtiyor. Bu yaklaşımı olumlu buluyorum.

  • Atlas müşterileri etkilenmemiş olsa bile, web sitesi veya destek kanalları hakkında böylesine kapsamlı bir duyurunun ardından doğal olarak endişe duyabilecekleri vurgulanıyor. SSPL lisans değişikliği nedeniyle seçenekler sınırlı olsa da, bağımsız bir MongoDB DBaaS sağlayıcısı gerçek bir yedeklilik sunacaktır. FerretDB'nin uygulanabilir bir alternatif oluşturmayı başarıyla gerçekleştirmesini umuyorum.

  • MongoDB Atlas parolasını düzenli olarak değiştirmenin modern güvenlik ekiplerinin önerisi olup olmadığına dair bağlamın eksik olup olmadığını merak ettiğini ifade ediyor.

  • MongoDB'den güvenlik olayıyla ilgili e-posta uyarısı aldım. MongoDB'nin bazı kurumsal sistemlerine yetkisiz erişim olmuş ve müşteri hesap metaverileri ile iletişim bilgileri açığa çıkmış. MongoDB Atlas'ta depolanan müşteri verilerinin açığa çıktığına dair şu anda bir bulgu yok. Çarşamba akşamı şüpheli etkinlik tespit edildi ve olay müdahale prosedürleri derhal etkinleştirildi. Yetkisiz erişimin, tespit edilmeden önce bir süre devam etmiş olduğuna inanılıyor. İlgili makamlara bildirim süreci başlatıldı. Müşterilere, sosyal mühendislik ve phishing saldırılarına karşı dikkatli olmaları, mümkünse phishing'e dayanıklı çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri ve parolalarını düzenli olarak değiştirmeleri tavsiye ediliyor. MongoDB, soruşturma ilerledikçe mongodb.com/alerts adresinde ek bilgileri güncellemeye devam edecek.

  • "Veriler güvende. Çünkü verileri diske yazmadık." diye şaka yapıyor.

  • MongoDB'yi hiç kullanmamış biri, insanların neden MongoDB'yi diğer veritabanlarına tercih ettiğini merak ediyor.

  • JSON verisine karşı olmadığını söyleyerek, insanların bugünlerde neden hâlâ Postgres yerine Mongo seçtiğini içtenlikle merak ediyor.

  • MongoDB'nin iyi iş çıkarıp çıkarmadığı ve etrafındaki heyecanın biraz sönmüş gibi görünüp görünmediği sorgulanıyor.