MongoDB 又不加密,8.09 億條個人詳細記錄洩露
近日,安全研究員 Bob Diachenko 和 Vinny Troia 發現了一個沒有密碼保護的 MongoDB 資料庫,其中包含有 150GB 資料,共 808539939 條記錄。
因資料庫不加密導致的資料洩露事件眾多,近日,又發生了一起。安全研究員 Bob Diachenko 和 Vinny Troia 發現了一個沒有密碼保護的資料庫例項,共 150GB,包含 4 個獨立資料集,808539939 條記錄,其中最大的一組被命名為“mailEmailDatabase”,分為以下三個部分:
- Emailrecords(含 798171891 條記錄)
- emailWithPhone(含 4150600 條記錄)
- businessLeads(含 6217358 條記錄)
據研究員稱,雖然不是所有的記錄都包含有關電子郵件所有者的詳細資料資訊,但是大量的記錄都很詳細。資訊內容包含有關郵政編碼、電話號碼、實際地址、電子郵件地址、性別、使用者 IP 地址和出生日期等等。
通過 MongoDB 例項中的蛛絲馬跡,我們可以推斷出該資料庫屬於一家名為 verifications.io 的公司,根據相關資訊,我們可以得知 verifications.io 是一家電子郵件營銷公司,專門規避垃圾郵,不過,現在該公司官網已經無法訪問了。
該公司提供一項名為“企業電子郵件驗證”的服務,允許客戶上傳電子郵件列表,並向某人傳送資訊以驗證電子郵件的可用性,如果電子郵件被退回,則將該郵件新增到退回列表中,稍後繼續進行測試。但這些訊息都是明文儲存的,一旦上傳到服務中,就沒有任何形式的加密保護。
發現該漏洞的安全研究員將其報告給了verifications.io ,隨後 verifications.io 刪除了該資料庫,並表示這並不是客戶端資料,而是公共資料。對此 Diachenko 表示:“除了電子郵件配置檔案外,該資料庫還具有訪問詳細資訊和(130 條記錄)使用者列表,以及訪問 FTP 伺服器以上載 / 下載電子郵件列表的名稱和憑據(託管在與 MongoDB 相同的 IP 上)。據我推測,這應該不是公共資料。”