MongoDB सुरक्षा सूचना

 (mongodb.com)
2 पॉइंट द्वारा GN⁺ 2023-12-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें

MongoDB सुरक्षा सूचना

  • MongoDB में लॉगिन प्रयास बढ़ने के कारण Atlas और support portal लॉगिन में समस्या आ रही है। यह किसी security incident से संबंधित नहीं है, और यदि लॉगिन में कठिनाई हो रही हो तो कुछ मिनट बाद फिर से प्रयास करने की सलाह दी गई है।
  • MongoDB एक security incident की जांच कर रहा है, जिसमें कुछ कॉर्पोरेट सिस्टमों तक अनधिकृत पहुंच शामिल है। इसके कारण customer account metadata और contact information उजागर हुई है। बुधवार शाम संदिग्ध गतिविधि का पता चलने पर तुरंत incident response प्रक्रिया सक्रिय की गई। MongoDB Atlas में संग्रहीत customer data के उजागर होने की जानकारी फिलहाल नहीं है, लेकिन ग्राहकों को social engineering और phishing हमलों के प्रति सतर्क रहने, phishing-resistant multi-factor authentication (MFA) सक्षम करने, और नियमित रूप से MongoDB Atlas password बदलने की सलाह दी गई है.

डेटा अखंडता से संबंधित

  • sharded time-series collection में insert समस्या के कारण डाले गए document तुरंत orphaned हो सकते हैं, जिससे वे query में वापस नहीं आएंगे और data loss हो सकता है.
  • mongosync 1.5 में होने वाली race condition के कारण source के कुछ write operations target पर replicate नहीं हो सकते। 1.6 या उससे ऊपर में upgrade करने की सिफारिश की गई है.
  • storage engine समस्या के कारण Ops Manager और Cloud Manager के incremental backup असंगत हो सकते हैं, और प्रभावित incremental backup से restore किए गए cluster checksum error के कारण crash हो सकते हैं.

संचालन से संबंधित

  • dbhash परिणामों की caching के कारण sharded cluster config servers के बीच inconsistency हो सकती है.

सुरक्षा से संबंधित

  • Atlas Operator के debug mode में संवेदनशील जानकारी log हो सकती है.
  • कुछ MongoDB drivers application द्वारा configured command listener को authentication-related data सहित events publish कर सकते हैं.
  • यदि Windows या macOS पर चल रहा MongoDB server TLS उपयोग करने के लिए configured है, तो certificate validation समस्या हो सकती है.

GN⁺ की राय:

  • इस लेख का सबसे महत्वपूर्ण बिंदु यह है कि MongoDB हाल ही में हुई security incident की सक्रिय रूप से जांच कर रहा है और ग्राहकों को सुरक्षा उपाय अपनाने की सलाह दे रहा है.
  • data integrity से संबंधित कई समस्याएं लगातार सामने आ रही हैं, इसलिए MongoDB उपयोगकर्ताओं को इन मुद्दों पर सावधानीपूर्वक निगरानी रखनी चाहिए.
  • security incident कंपनियों और व्यक्तिगत उपयोगकर्ताओं दोनों पर गंभीर प्रभाव डाल सकते हैं, इसलिए यह लेख MongoDB उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण और उपयोगी जानकारी प्रदान करता है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-12-18
Hacker News टिप्पणियाँ

  • Atlas अकाउंट और support portal दोनों तक बिल्कुल access नहीं हो पा रहा था। Okta के जरिए Mongo authentication की सभी कोशिशें fail हो रही थीं, और login screen पर "The request contained invalid data." संदेश दिख रहा था। support portal इस्तेमाल करने के लिए भी authentication चाहिए, इसलिए auth failure पर मदद लेना मुश्किल था। जानना चाहूँगा कि क्या दूसरे users को भी dashboard access में समस्या हो रही है। बाद में authentication फिर से काम करने लगा और dashboard access संभव हो गया.

  • यह मामला साफ़ तौर पर दिखाता है कि शुरुआती investigation stage में जानकारी सीमित हो सकती है, और आगे और जानकारी दी जाएगी। इस तरह के approach को सकारात्मक मानता हूँ.

  • भले ही Atlas customers प्रभावित न हुए हों, website या support channels के बारे में इतने बड़े announcement के बाद स्वाभाविक रूप से चिंता होना समझ में आता है। SSPL license बदलाव की वजह से विकल्प सीमित हैं, लेकिन एक independent MongoDB DBaaS provider ही असली redundancy दे सकता है। उम्मीद है कि FerretDB एक viable alternative सफलतापूर्वक बना पाएगा.

  • यह सोच रहा हूँ कि क्या context में यह बात छूट गई कि MongoDB Atlas password को नियमित रूप से बदलना modern security teams की recommended practice है या नहीं.

  • MongoDB से security incident के बारे में email alert मिला। MongoDB के कुछ corporate systems पर unauthorized access हुआ था, और customer account metadata तथा contact information expose हुई। MongoDB Atlas में stored customer data के expose होने की फिलहाल कोई जानकारी नहीं है। बुधवार शाम suspicious activity detect की गई और तुरंत incident response procedure activate किया गया। माना जा रहा है कि unauthorized access का पता चलने से पहले यह कुछ समय तक जारी था। संबंधित authorities को notify करना शुरू कर दिया गया है। customers को social engineering और phishing attacks से सावधान रहने, जहाँ संभव हो phishing-resistant multi-factor authentication (MFA) enable करने, और नियमित रूप से password बदलने की सलाह दी गई है। MongoDB ने कहा है कि investigation आगे बढ़ने के साथ mongodb.com/alerts पर अतिरिक्त जानकारी update की जाती रहेगी.

  • एक मज़ाक किया गया: "डेटा सुरक्षित है। क्योंकि हमने डेटा को disk पर लिखा ही नहीं।"

  • जिसने कभी MongoDB इस्तेमाल नहीं किया, वह यह जानना चाहता है कि लोग MongoDB को दूसरे databases पर क्यों prefer करते हैं.

  • यह सच में जानना चाहता हूँ कि आजकल भी लोग Postgres की जगह Mongo क्यों चुनते हैं, जबकि मुझे json data से कोई आपत्ति नहीं है.

  • यह सवाल उठाया गया कि क्या MongoDB अभी भी अच्छा कर रहा है, या उसके लिए जो उत्साह था वह अब कुछ कम हो गया है.