.png)
MongoDB, Müşteri Verilerini İfşa Ederek Güvenlik İhlali Yaşıyor
MongoDB Cumartesi günü yaptığı açıklamada, "belirli" kurumsal sistemlere yetkisiz erişime yol açan ve müşteri hesabı meta verilerinin ve iletişim bilgilerinin açığa çıkmasına neden olan bir güvenlik olayını aktif olarak araştırdığını açıkladı.
Amerikan veritabanı yazılım şirketi, ilk olarak 13 Aralık 2023'te anormal etkinlik tespit ettiğini ve olay müdahale çabalarını hemen etkinleştirdiğini söyledi.
Ayrıca, "bu yetkisiz erişimin keşfedilmeden önce bir süredir devam ettiğini" belirtti, ancak "müşterilerin MongoDB Atlas'ta depoladığı verilere herhangi bir maruz kalmanın farkında olmadığını" vurguladı. Uzlaşmanın kesin zaman dilimini açıklamadı.
İhlalin ışığında MongoDB, tüm müşterilerin sosyal mühendislik ve kimlik avı saldırılarına karşı tetikte olmalarını, kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmalarını ve MongoDB Atlas parolalarını döndürmelerini önerir.
Hepsi bu değil. Şirket, Atlas'a ve Destek Portalına giriş yapmaya çalışan müşteriler için sorunlara neden olan yüksek oturum açma girişimleri yaşadığını da söyledi. Bununla birlikte, sorunun güvenlik olayıyla ilgisi olmadığını ve 16 Aralık 22:22 ET itibariyle çözüldüğünü söyledi.
Yorum için ulaşıldığında MongoDB, olayın devam eden bir soruşturma meselesi olduğunu ve "mümkün olan en kısa sürede güncellemeler sağlayacağını" söyledi.
Güncelleme (17 Aralık, 21:00 ET itibariyle)
Yayınla paylaşılan bir takip açıklamasında şirket, MongoDB Atlas kümelerine yetkisiz erişime dair hiçbir kanıt bulamadığını söyledi.
Açık olmak gerekirse, bu olayın bir sonucu olarak herhangi bir MongoDB ürününde herhangi bir güvenlik açığı tespit etmedik. MongoDB Atlas küme erişiminin kimliğinin MongoDB kurumsal sistemlerinden ayrı bir sistem aracılığıyla doğrulandığını ve Atlas kümesi kimlik doğrulama sisteminin güvenliğinin ihlal edildiğine dair hiçbir kanıt bulamadığımızı unutmamak önemlidir.
Bir müşterinin sistem günlükleri de dahil olmak üzere diğer müşteri hesabı meta verilerinin yanı sıra müşteri adları, telefon numaraları ve e-posta adresleri içeren bazı kurumsal sistemlere yetkisiz erişim olduğunun farkındayız. Etkilenen müşteriyi bilgilendirdik. Şu anda, diğer müşterilerin sistem günlüklerine erişildiğine dair hiçbir kanıt bulamadık.
Soruşturmamız devam ediyor ve ilgili makamlar ve adli tıp firmalarıyla çalışıyoruz.
Benzer Haberler
AB Komisyonu, Kullanıcı Verilerini Gizlilik Yasalarını İhlal Ederek Meta'ya Aktardığı İçin Para Cezasına Çarptırıldı
22 Milyon Dolarlık Fidyeden +100 Milyon Çalıntı Kayıtlara: 2025'in İzlenmesi Gereken All-Star SaaS Tehdit Aktörleri
Yeni ABD Adalet Bakanlığı Kuralı, Gizliliği Korumak İçin Düşman Ülkelere Toplu Veri Transferlerini Durdurdu
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi