MongoDB數(shù)據(jù)庫又泄露了,8億電郵地址,原因是:沒設(shè)密碼

威客安全
盡管并非所有記錄都包含關(guān)于電子郵件所有者的詳細個人信息,但大量記錄都非常詳細。

2019年2月25日,安全研究員 Bob Diachenko 和 Vinny Troia發(fā)現(xiàn)了一個不受密碼保護的150gb大小的MongoDB實例。

“這可能是我所報道過的最大、最全面的電子郵件數(shù)據(jù)庫。經(jīng)過核實,我對任何人都可以通過互聯(lián)網(wǎng)公開訪問的大量電子郵件感到震驚。有些數(shù)據(jù)比電子郵件地址更詳細,包括個人身份信息。”

據(jù)了解,這個數(shù)據(jù)庫包含4個單獨的數(shù)據(jù)集合,總數(shù)結(jié)合起來是驚人的808,539,939條記錄。其中最大的部分被命名為“mailEmailDatabase”,里面有三個文件夾:

電子郵件記錄(計數(shù):798,171,891條記錄)

手機郵件記錄(計數(shù):4,150,600條記錄)

業(yè)務(wù)線索(統(tǒng)計:6,217,358項記錄)

電子郵件記錄的結(jié)構(gòu)包括zip /電話/地址/性別/電子郵件/用戶IP / DOB:

作為驗證過程的一部分,他用Troy Hunt的HaveIBeenPwned數(shù)據(jù)庫反復(fù)檢查了隨機選擇的記錄。最后他得出的結(jié)論是,這不是對之前網(wǎng)上泄露內(nèi)容的收集,而是完全嶄新的數(shù)據(jù)。盡管并非所有記錄都包含關(guān)于電子郵件所有者的詳細個人信息,但大量記錄都非常詳細。

該數(shù)據(jù)庫的所有者是電郵驗證公司 Verifications.io,它在收到報告之后便把數(shù)據(jù)庫下線了。該數(shù)據(jù)庫被由于電郵營銷,從事電郵營銷的公司需要驗證電子郵件是否有效,但如果親自驗證的話可能會被識別為垃圾郵件,因此這些企業(yè)將驗證工作外包給 Verifications.io 這樣的公司,以避免被反垃圾郵件過濾器加入到黑名單,而 Verifications 驗證郵件本質(zhì)上也是發(fā)送 Spam,但它并不擔心被屏蔽。Verifications 的數(shù)據(jù)庫包含了 8.09 億條記錄,主要是名字、電郵地址、電話號碼、住址。但還有部分記錄包含了更詳細的個人身份信息如性別、出生日期、貸款金額、利息、相關(guān) Facebook、LinkedIn 和 Instagram 賬號。

這是近期內(nèi)的第幾起MongoDB數(shù)據(jù)庫泄露事件了?為什么大家用MongoDB總是不設(shè)置密碼保護呢?

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論