MongoDB va revelar que està investigant activament un incident de seguretat que ha provocat un accés no autoritzat a “determinats” sistemes corporatius, cosa que ha provocat l’exposició de les metadades dels comptes de clients i la informació de contacte.

L’empresa nord-americana de programari de bases de dades va dir que va detectar per primera vegada una activitat anòmala el 13 de desembre de 2023 i que va activar immediatament el seu protocol de resposta a incidents.

A més, va assenyalar que “aquest accés no autoritzat s’ha produït durant un període de temps abans del descobriment”, però va destacar que no “té constància de cap exposició a les dades que els clients emmagatzemen a MongoDB Atlas”. No va revelar el període de temps exacte d’exposició de les dades.

A causa de la violació de seguretat, MongoDB recomana que tots els clients estiguin atents als atacs d’enginyeria social i de pesca, que facin servir l’autenticació multifactor (MFA) resistent a la pesca i que canviïn les seves contrasenyes de MongoDB Atlas.

Però això no és tot. L’empresa va dir que també està experimentant intents d’inici de sessió molt nombrosos que estan causant problemes als clients que intenten iniciar sessió a Atlas i al seu portal d’assistència. No obstant això, va dir que el problema no té relació amb l’esdeveniment de seguretat i que es va resoldre el 16 de desembre a les 22:22 h, EST.

Quan The Hacker News es va posar en contacte amb MongoDB per comentar el succés, l’empresa va dir que l’incident està sota investigació i que “proporcionarà actualitzacions tan aviat com puguem”.

Actualització (el 17 de desembre, 21:00 h EST)

En una declaració de seguiment compartida amb la publicació, l’empresa va dir que no va trobar cap evidència d’accés no autoritzat als clústers MongoDB Atlas –

Per ser clars, no hem identificat cap vulnerabilitat de seguretat en cap producte MongoDB com a resultat d’aquest incident. És important tenir en compte que l’accés al clúster de MongoDB Atlas s’autentica mitjançant un sistema separat dels sistemes corporatius de MongoDB i no hem trobat cap evidència que el sistema d’autenticació del clúster Atlas s’hagi compromès.

Som conscients de l’accés no autoritzat a alguns sistemes corporatius que contenen noms de clients, números de telèfon i adreces de correu electrònic, entre altres metadades dels comptes de clients, inclosos els registres del sistema d’un client. Ho hem notificat al client afectat. Fins ara, no hem trobat cap evidència que s’hagi accedit als registres del sistema d’altres clients.

Continuem amb la nostra investigació i estem treballant amb les autoritats i empreses forenses pertinents.

Actualització (el 18 de desembre, 21.00 h EST)

MongoDB, en una actualització sobre el seu avís, va dir que va ser víctima d’un atac de pesca i que l’actor maliciós va utilitzar Mullvad VPN per ocultar els seus orígens. Va enumerar un total de 15 adreces IP a partir de les quals es va originar l’activitat.

No obstant això, l’empresa encara no ha revelat quan va tenir lloc l’atac, a quins sistemes es va accedir i quanta informació dels clients es pot veure afectada per la violació dels seus sistemes corporatius.

Actualització (el 20 de desembre, 21:00 ho EST)

En una revisió de seguiment del seu avís, MongoDB va dir que l’atac de pesca va permetre a un tercer no autoritzat accedir a algunes de les aplicacions corporatives utilitzades per oferir serveis de suport als clients de MongoDB. També va compartir la informació de contacte i les metadades dels comptes relacionats a les quals es va accedir des de les aplicacions compromeses.