Tutoriel : L’Express, ou comment ne pas gérer une fuite de données
▻https://reflets.info/articles/tutoriel-l-express-ou-comment-ne-pas-gerer-une-fuite-de-donnees
►https://reflets.info/featured_images/big/missing.png
Aujourd’hui, c’est ZDNet qui révèle qu’un serveur de base de données MongoDB, géré par l’Express et contenant environ 700 000 documents, était ouvert aux quatre vents. Jusque là, malheureusement rien d’exceptionnel — quoique cela soit fâcheux, la configuration par défaut de MongoDB est notoirement mauvaise. Les contrôles d’accès ne sont en effet pas activés par défaut. De plus, il aura fallu attendre mai 2017 et la version 3.5.7 du logiciel pour qu’il n’écoute plus sur toutes les interfaces réseau, mais uniquement sur le localhost. Autrement dit, avant cette date, un serveur fraîchement installé acceptait n’importe quelle connexion entrante sans aucune forme d’authentification. D’après ZDNet, Mickey Dimov, le techos américain à l’origine de la découverte, (...)