6600万条信息泄露,又是MongoDB的锅

600万条信息泄露,又是MongoDB的锅"

超过6600万条个人信息暴露在一个不受保护的数据库中,只要会上网就能查看这些信息。这些被泄露的信息很像从知名国际社交平台——领英的个人资料中截取来的。

缓存数据中包括可识别用户的个人详细信息,可以帮助攻击者创建针对性的网络钓鱼攻击。

根据Hacken公司的网络风险研究总监Bob Diachenko的说法,个人信息数据通过MongoDB实例被公开,无需身份验证即可访问该实例。

MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。它是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。

600万条信息泄露,又是MongoDB的锅"

Diachenko发现这些信息中包含全名、个人或公司电子邮件地址、用户的位置详细信息、电话号码和工作经历,另外还提供了个人领英资料链接。

600万条信息泄露,又是MongoDB的锅"

鉴于这些信息的性质以及缺少支付卡数据、密码等敏感信息,Diachenko认为数据是从公开的LinkedIn个人资料中截取过来的。

该集合最初很小

最早在10月份,研究人员就在一个名为“数据库”的存储库中注意到了该集合,其中包含4900万条记录,而这只是被暴露的1.2条记录中的一部分。

除了看似领英的个人资料细节外,还有发现另外两个数据库。其中一个数据库由佛罗里达州的一家公司管理,里面有2200万条记录,其中包括电子邮件地址、姓名以及用户的求职区域。另一个数据库有4800万条记录,包括姓名、工作电子邮件地址、电话号码和用户详细信息。

Diachenko表示这些MongoDB实例在十月到十一月之间出现在网上。

MongoDB数据库泄漏问题频发

600万条信息泄露,又是MongoDB的锅"

事实上MongoDB数据库泄漏问题早在2015年就被报导过。当时Shodan(搜索引擎)的负责人John Matherly统计到有30,000个以上的MongoDB数据库实例,近600TB的数据暴露于公网之上,无需任何认证就可访问。很多版本滞后的数据库配置文件里没有做IP捆绑(bind_ip 127.0.0.1),在用户不甚了解的时候留下了安全隐患。

2016年知名数据库及数据存储服务提供商MBS遭到黑客攻击,其MongoDB数据库由于缺乏有效的安全保护措施,5800万商业用户的重要信息泄露,包括名称、IP地址、邮件账号、职业、车辆数据、出生日期等信息。

检查您的信息是否被泄露

研究人员无法确认该数据库的所有者,但表示该数据库目前已经下架,不过并不能排除再次上线的可能。

目前,这些从领英里截取的数据已上传到HaveIBeenPwned服务,该服务可以让用户检查他们的个人信息是否已被公开。

关于网络抓取个人数据的合法性,Diachenko表示复制公开内容是合法的,但不应该用于破环所有者的利益,否则就会被视为违法行为。

由于存在个人数据被滥用的风险,所以在创建网上个人资料或者账户时,允许他人查看的信息越少越好。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133244.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code