Причиной возникновения проблем является является открытие публичного доступа к БД без надлежащей настройки аутентификации. По ошибке или беспечности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB подобному поведению способствует пример настроек, предлагаемых по умолчанию, а в Elasticsearch до выпуска 6.8 в бесплатной версии вообще не поддерживалась средства разграничения доступа.
Показательна также история с VPN-провайдером UFO, у которого выявили публично доступную базу Elasticsearch, размером 894ГБ. Провайдер позиционировал себя как заботящийся о приватности пользователей и не ведущий логи. Вопреки заявлению, во всплывшей базе присутствовали логи, включающие сведения об IP-адресах, привязке сеанслв ко времени, метках о местоположении, информации об операционной системе и устройстве пользователя и списках доменов для подстановки рекламы в незащищённый HTTP-трафик. Более того, в БД присутствовали пароли доступа в открытом виде и сессионные ключи, позволяющие расшифровать перехваченные сеансы.
Провайдер UFO был информирован о проблеме 1 июля, но две недели оставался сообщение оставалось без ответа и 14 июля был направлен другой запрос хостинг-провайдеру, после чего 15 июля БД была защищена. 20 июля данная БД снова всплыла в публичном доступе на другом IP. Через считанные часы почти все данные в БД были удалены. Разбор данного удаления показал, что оно связано с массово проводимой атакой, получившей имя Meow по названию индексов, оставляемых в БД после удаления. Поиск через сервис Shodan показа, что жертвами удаления также стали ещё несколько сотен серверов. Сейчас число удалённых БД приближается к отметке в 4000.
Источник: http://www.opennet.ru/opennews/art.shtml?num=53438