La compañía de software de bases de datos americana, MongoDB, ha anunciado que está investigando activamente un incidente de seguridad que ha conducido a un acceso no autorizado a «ciertos» sistemas corporativos, lo que ha llevado a la exposición de datos de contacto y metadatos de cuenta del cliente.
El 13 de diciembre de 2023, la empresa detectó por primera vez una actividad anómala y de inmediato activó sus esfuerzos de respuesta a incidentes.
MongoDB indicó que «este acceso no autorizado ha estado sucediendo durante cierto período de tiempo antes de su descubrimiento». Sin embargo, enfatizó que no está «al tanto de ninguna exposición de los datos que los clientes almacenan en MongoDB Atlas». No reveló la duración exacta de la violación.
En respuesta a la brecha, MongoDB recomienda que todos los clientes estén alerta ante posibles ataques de ingeniería social y phishing, usen autenticación multifactor resistente a phishing y roten sus contraseñas de MongoDB Atlas.
Además, la compañía ha experimentado un aumento en los intentos de inicio de sesión que están causando problemas para los clientes que intentan ingresar a Atlas y su Portal de Soporte. No obstante, la compañía asegura que este problema no está relacionado con el evento de seguridad, y que fue resuelto a partir del 16 de diciembre, a las 10:22 p.m. ET.
Al ser contactada para hacer comentarios, MongoDB declaró que el incidente es motivo de una investigación en curso y que «proporcionará actualizaciones tan pronto como pueda».
Actualización (a partir del 17 de diciembre, 9:00 p.m. ET)
En una declaración de seguimiento compartida con la publicación, la compañía dijo no haber encontrado evidencia de acceso no autorizado a los clústeres de MongoDB Atlas.
Es importante señalar que el acceso al clúster de MongoDB Atlas se autentica mediante un sistema separado de los sistemas corporativos de MongoDB, y no hemos encontrado evidencia de que el sistema de autenticación de clúster de Atlas haya sido comprometido.
La compañía reconoció el acceso no autorizado a algunos sistemas corporativos que contienen nombres, números de teléfono y direcciones de correo electrónico de los clientes, entre otros metadatos de cuenta de cliente, incluidos los registros del sistema para un cliente. Se ha notificado al cliente afectado y, por el momento, no se ha encontrado evidencia de que se haya accedido a los registros del sistema de otros clientes.
Continuamos con nuestra investigación y estamos trabajando con las autoridades pertinentes y empresas forenses.
Actualización (a partir del 18 de diciembre, 9:00 p.m. ET)
En una actualización de su aviso, MongoDB declaró que fue víctima de un ataque de phishing y que el actor malicioso utilizó Mullvad VPN para ocultar sus orígenes, listando un total de 15 direcciones IP desde las cuales se originó la actividad.
Sin embargo, la empresa aún no ha revelado cuándo tuvo lugar el ataque, qué sistemas fueron accedidos y cuánta información de los clientes puede verse afectada por la violación de sus sistemas corporativos.
Actualización (a partir del 20 de diciembre, 9:00 p.m. ET)
En una revisión adicional de su aviso, MongoDB dijo que el ataque de phishing permitió que el tercero no autorizado obtuviera acceso a algunas de las aplicaciones corporativas utilizadas para proporcionar servicios de soporte a los clientes de MongoDB. También compartió la información de contacto y los metadatos de cuenta relacionados que se accedieron desde las aplicaciones comprometidas.
