写点什么

MongoDB 又不加密,8.09 亿条个人详细记录泄露

  • 2019-03-10
  • 本文字数:741 字

    阅读完需:约 2 分钟

MongoDB又不加密,8.09亿条个人详细记录泄露

近日,安全研究员 Bob Diachenko 和 Vinny Troia 发现了一个没有密码保护的 MongoDB 数据库,其中包含有 150GB 数据,共 808539939 条记录。


因数据库不加密导致的数据泄露事件众多,近日,又发生了一起。安全研究员 Bob Diachenko 和 Vinny Troia 发现了一个没有密码保护的数据库实例,共 150GB,包含 4 个独立数据集,808539939 条记录,其中最大的一组被命名为“mailEmailDatabase”,分为以下三个部分:


  • Emailrecords(含 798171891 条记录)

  • emailWithPhone(含 4150600 条记录)

  • businessLeads(含 6217358 条记录)


据研究员称,虽然不是所有的记录都包含有关电子邮件所有者的详细资料信息,但是大量的记录都很详细。信息内容包含有关邮政编码、电话号码、实际地址、电子邮件地址、性别、用户 IP 地址和出生日期等等。


通过 MongoDB 实例中的蛛丝马迹,我们可以推断出该数据库属于一家名为 verifications.io 的公司,根据相关信息,我们可以得知 verifications.io 是一家电子邮件营销公司,专门规避垃圾邮,不过,现在该公司官网已经无法访问了。


该公司提供一项名为“企业电子邮件验证”的服务,允许客户上传电子邮件列表,并向某人发送信息以验证电子邮件的可用性,如果电子邮件被退回,则将该邮件添加到退回列表中,稍后继续进行测试。但这些消息都是明文存储的,一旦上传到服务中,就没有任何形式的加密保护。


发现该漏洞的安全研究员将其报告给了 verifications.io ,随后 verifications.io 删除了该数据库,并表示这并不是客户端数据,而是公共数据。对此 Diachenko 表示:“除了电子邮件配置文件外,该数据库还具有访问详细信息和(130 条记录)用户列表,以及访问 FTP 服务器以上载/下载电子邮件列表的名称和凭据(托管在与 MongoDB 相同的 IP 上)。据我推测,这应该不是公共数据。”


2019-03-10 13:065544
用户头像

发布了 497 篇内容, 共 331.7 次阅读, 收获喜欢 1925 次。

关注

评论

发布
暂无评论
发现更多内容

手把手教你如何参与开源,详细实用~

XIAOJUSURVEY

GitHub 开源 PR 贡献者 Issue

商品搜索API的未来:1688阿里巴巴引领智能化电商新趋势

代码忍者

API 接口 API 文档 API 测试

告别Hugging Face模型下载难题:掌握高效下载策略,畅享无缝开发体验

汀丶人工智能

人工智能 大模型

一站体验沉浸式非遗音乐,华为音乐结合空间音频打造文化潮流专区

最新动态

MES系统是什么?MES软件有什么用?

万界星空科技

制造业 生产管理系统 mes 万界星空科技 生产管理

聚焦中小企业上云用云需求,华为云Flexus X实例带来双倍性能、跃级体验

YG科技

低代码实践:题型物料化设计(四)

XIAOJUSURVEY

低代码 schema 源码解读 配置化 设置器

Mac红巨星粒子插件:Red Giant Trapcode Suite 激活版

你的猪会飞吗

Mac软件 mac破解软件下载 mac插件下载

MySQL 5.7 DDL 与 GH-OST 对比分析

vivo互联网技术

MySQL ddl GH-OST

飞天发布时刻:大数据AI平台产品升级发布

阿里云大数据AI技术

人工智能 大数据 MaxCompute EMR PAI

休闲手棋游戏:大富翁 10 for Mac 中文原生版可联机

你的猪会飞吗

Mac游戏下载 Mac破解软件 Mac软件下载站

Embedding空间中的时序异常检测

百度Geek说

安全 异常检测

无缝升级云服务,华为云Flexus X实例带来零门槛极致体验

YG科技

聚焦中小企业实际需求,华为云Flexus X实例推动中小企业数字化转型愿转敢转

轶天下事

​MES系统如何精准采集与对接设备数据,全面优化设备管理

万界星空科技

数据采集 mes 设备管理 万界星空科技 设备能源管理

重磅!华为中国政企明确要把服务打造成为核心竞争力

新消费日报

专题 | IAM业界热度不减,2024市场持续井喷(一)

芯盾时代

身份安全 iam 统一身份认证 零信任

实战从零开始实现Raft|得物技术

得物技术

分布式 raft 企业号2024年7月PK榜

榜上有名!望繁信科技荣登2023中国最具商业潜力榜

望繁信科技

流程挖掘 流程智能 上海望繁信科技 中国现代企业服务

MongoDB又不加密,8.09亿条个人详细记录泄露_安全_田晓旭_InfoQ精选文章