近日,安全研究員Bob Diachenko和Vinny Troia發現了一個沒有密碼保護的MongoDB數據庫,其中包含有150GB數據,共808539939條記錄。
因數據庫不加密導致的數據泄露事件衆多,近日,又發生了一起。安全研究員Bob Diachenko和Vinny Troia發現了一個沒有密碼保護的數據庫實例,共150GB,包含4個獨立數據集,808539939條記錄,其中最大的一組被命名爲“mailEmailDatabase”,分爲以下三個部分:
- Emailrecords(含798171891條記錄)
- emailWithPhone(含4150600條記錄)
- businessLeads(含6217358條記錄)
據研究員稱,雖然不是所有的記錄都包含有關電子郵件所有者的詳細資料信息,但是大量的記錄都很詳細。信息內容包含有關郵政編碼、電話號碼、實際地址、電子郵件地址、性別、用戶IP地址和出生日期等等。
通過MongoDB實例中的蛛絲馬跡,我們可以推斷出該數據庫屬於一家名爲verifications.io的公司,根據相關信息,我們可以得知verifications.io是一家電子郵件營銷公司,專門規避垃圾郵,不過,現在該公司官網已經無法訪問了。
該公司提供一項名爲“企業電子郵件驗證”的服務,允許客戶上傳電子郵件列表,並向某人發送信息以驗證電子郵件的可用性,如果電子郵件被退回,則將該郵件添加到退回列表中,稍後繼續進行測試。但這些消息都是明文存儲的,一旦上傳到服務中,就沒有任何形式的加密保護。
發現該漏洞的安全研究員將其報告給了 verifications.io ,隨後verifications.io刪除了該數據庫,並表示這並不是客戶端數據,而是公共數據。對此Diachenko 表示:“除了電子郵件配置文件外,該數據庫還具有訪問詳細信息和(130條記錄)用戶列表,以及訪問FTP服務器以上載/下載電子郵件列表的名稱和憑據(託管在與MongoDB相同的IP上)。據我推測,這應該不是公共數據。”