MongoDB 又不加密，8.09 亿条个人详细记录泄露

近日，安全研究员 Bob Diachenko 和 Vinny Troia 发现了一个没有密码保护的 MongoDB 数据库，其中包含有 150GB 数据，共 808539939 条记录。

因数据库不加密导致的数据泄露事件众多，近日，又发生了一起。安全研究员 Bob Diachenko 和 Vinny Troia 发现了一个没有密码保护的数据库实例，共 150GB，包含 4 个独立数据集，808539939 条记录，其中最大的一组被命名为“mailEmailDatabase”，分为以下三个部分：

• Emailrecords（含 798171891 条记录）

• emailWithPhone（含 4150600 条记录）

• businessLeads（含 6217358 条记录）

据研究员称，虽然不是所有的记录都包含有关电子邮件所有者的详细资料信息，但是大量的记录都很详细。信息内容包含有关邮政编码、电话号码、实际地址、电子邮件地址、性别、用户 IP 地址和出生日期等等。

通过 MongoDB 实例中的蛛丝马迹，我们可以推断出该数据库属于一家名为 verifications.io 的公司，根据相关信息，我们可以得知 verifications.io 是一家电子邮件营销公司，专门规避垃圾邮，不过，现在该公司官网已经无法访问了。

该公司提供一项名为“企业电子邮件验证”的服务，允许客户上传电子邮件列表，并向某人发送信息以验证电子邮件的可用性，如果电子邮件被退回，则将该邮件添加到退回列表中，稍后继续进行测试。但这些消息都是明文存储的，一旦上传到服务中，就没有任何形式的加密保护。

发现该漏洞的安全研究员将其报告给了 verifications.io ，随后 verifications.io 删除了该数据库，并表示这并不是客户端数据，而是公共数据。对此 Diachenko 表示：“除了电子邮件配置文件外，该数据库还具有访问详细信息和（130 条记录）用户列表，以及访问 FTP 服务器以上载/下载电子邮件列表的名称和凭据（托管在与 MongoDB 相同的 IP 上）。据我推测，这应该不是公共数据。”