写点什么

MongoDB 又不加密,8.09 亿条个人详细记录泄露

  • 2019-03-10
  • 本文字数:741 字

    阅读完需:约 2 分钟

MongoDB又不加密,8.09亿条个人详细记录泄露

近日,安全研究员 Bob Diachenko 和 Vinny Troia 发现了一个没有密码保护的 MongoDB 数据库,其中包含有 150GB 数据,共 808539939 条记录。


因数据库不加密导致的数据泄露事件众多,近日,又发生了一起。安全研究员 Bob Diachenko 和 Vinny Troia 发现了一个没有密码保护的数据库实例,共 150GB,包含 4 个独立数据集,808539939 条记录,其中最大的一组被命名为“mailEmailDatabase”,分为以下三个部分:


  • Emailrecords(含 798171891 条记录)

  • emailWithPhone(含 4150600 条记录)

  • businessLeads(含 6217358 条记录)


据研究员称,虽然不是所有的记录都包含有关电子邮件所有者的详细资料信息,但是大量的记录都很详细。信息内容包含有关邮政编码、电话号码、实际地址、电子邮件地址、性别、用户 IP 地址和出生日期等等。


通过 MongoDB 实例中的蛛丝马迹,我们可以推断出该数据库属于一家名为 verifications.io 的公司,根据相关信息,我们可以得知 verifications.io 是一家电子邮件营销公司,专门规避垃圾邮,不过,现在该公司官网已经无法访问了。


该公司提供一项名为“企业电子邮件验证”的服务,允许客户上传电子邮件列表,并向某人发送信息以验证电子邮件的可用性,如果电子邮件被退回,则将该邮件添加到退回列表中,稍后继续进行测试。但这些消息都是明文存储的,一旦上传到服务中,就没有任何形式的加密保护。


发现该漏洞的安全研究员将其报告给了 verifications.io ,随后 verifications.io 删除了该数据库,并表示这并不是客户端数据,而是公共数据。对此 Diachenko 表示:“除了电子邮件配置文件外,该数据库还具有访问详细信息和(130 条记录)用户列表,以及访问 FTP 服务器以上载/下载电子邮件列表的名称和凭据(托管在与 MongoDB 相同的 IP 上)。据我推测,这应该不是公共数据。”


2019-03-10 13:065487
用户头像

发布了 497 篇内容, 共 321.4 次阅读, 收获喜欢 1919 次。

关注

评论

发布
暂无评论
发现更多内容

网络安全之反序列化漏洞分析

网络安全学海

黑客 网络安全 信息安全 渗透测试 漏洞挖掘

CorelDRAW软件2023最新版本更新下载

茶色酒

CorelDraw2023 CorelDraw

「虚拟社交」爆火,资深玩家「当道」

融云 RongCloud

社交 虚拟形象

React源码分析5-commit

goClient1992

React

React源码解读之更新的创建

flyzz177

React

Span抽取和元学习能碰撞出怎样的新火花,小样本实体识别来告诉你!

阿里云大数据AI技术

机器学习 12 月 PK 榜 小样本学习

SeaweedFS 高可用方案最佳实践

冰心的小屋

分布式文件系统 SeaweedFS

LinkedIn创始人对话 OpenAI CEO :创业公司的机会—价值中间层

B Impact

React源码分析4-深度理解diff算法

goClient1992

React

AngularJS进阶(三十六)AngularJS项目开发技巧之利用Service&Promise&Resolve解决图片预加载问题(后记)

No Silver Bullet

项目开发 AngularJS 12月月更

FLStudio21水果体验版更新下载及功能介绍

茶色酒

flstudio FLStudio21

架构学习笔记1:什么是架构设计?

生活需要激情

架构训练营10期

如何打造用户“上瘾”的产品?

产品海豚湾

产品经理 用户体验 产品运营 用户思维 12月月更

React源码解读之任务调度

flyzz177

React

金融行业业财融合实践:5A全面预算管理,赋能金融企业高质量发展

B Impact

react hook 源码完全解读

flyzz177

React

实测|超融合数据库 MatrixDB 实现百万级 TPS!

YMatrix 超融合数据库

intel OLTP 超融合数据库 YMatrix tpcb

一块钱能做什么?

白洞计划

AngularJS进阶(三十五)浏览器兼容性解决之道

No Silver Bullet

AngularJS 12月月更 浏览器兼容

AngularJS进阶(三十七)IE浏览器兼容性后续

No Silver Bullet

AngularJS 12月月更 浏览器兼容 下拉加载

凡泰极客荣获了第二届产业互联高峰论坛「2022年度行业科技创新产品奖」

FinClip

【零代码】6步轻松完成 Kafka 实时数据接入 MatrixDB

YMatrix 超融合数据库

json kafka 零代码 超融合数据库 YMatrix

mysql数据库之schema与数据类型优化

@下一站

程序设计 代码优化 MySQL优化 11月日更 11月月更

React源码分析6-hooks源码

goClient1992

React

元年SecDevOps的实践之路

元年技术洞察

数字化转型 趋势研究 方舟平台

Verilog 数据类型

芯动大师

Verilog Verilog数据类型 Verilog语法

CleanMyMac4.12Crack版本弹出密码如何解决教程

茶色酒

CleanMyMac CleanMyMac X CleanMyMac X2023

构建高性能内存队列:Disruptor yyds~

小小怪下士

Java 高性能

全面支持 PyTorch 2.0:BladeDISC 5月~11月新功能发布

阿里云大数据AI技术

深度学习 编译器 PyTorch 12 月 PK 榜

读者回信:为什么畅捷通可能会迎来戴维斯双杀?

B Impact

Nexus3常用功能备忘

程序员欣宸

Java maven nexus3 12月月更

MongoDB又不加密,8.09亿条个人详细记录泄露_安全_田晓旭_InfoQ精选文章