近日,安全研究员Bob Diachenko和Vinny Troia发现了一个没有密码保护的MongoDB数据库,其中包含有150GB数据,共808539939条记录。
因数据库不加密导致的数据泄露事件众多,近日,又发生了一起。安全研究员Bob Diachenko和Vinny Troia发现了一个没有密码保护的数据库实例,共150GB,包含4个独立数据集,808539939条记录,其中最大的一组被命名为“mailEmailDatabase”,分为以下三个部分:
- Emailrecords(含798171891条记录)
- emailWithPhone(含4150600条记录)
- businessLeads(含6217358条记录)
据研究员称,虽然不是所有的记录都包含有关电子邮件所有者的详细资料信息,但是大量的记录都很详细。信息内容包含有关邮政编码、电话号码、实际地址、电子邮件地址、性别、用户IP地址和出生日期等等。
通过MongoDB实例中的蛛丝马迹,我们可以推断出该数据库属于一家名为verifications.io的公司,根据相关信息,我们可以得知verifications.io是一家电子邮件营销公司,专门规避垃圾邮,不过,现在该公司官网已经无法访问了。
该公司提供一项名为“企业电子邮件验证”的服务,允许客户上传电子邮件列表,并向某人发送信息以验证电子邮件的可用性,如果电子邮件被退回,则将该邮件添加到退回列表中,稍后继续进行测试。但这些消息都是明文存储的,一旦上传到服务中,就没有任何形式的加密保护。
发现该漏洞的安全研究员将其报告给了 verifications.io ,随后verifications.io删除了该数据库,并表示这并不是客户端数据,而是公共数据。对此Diachenko 表示:“除了电子邮件配置文件外,该数据库还具有访问详细信息和(130条记录)用户列表,以及访问FTP服务器以上载/下载电子邮件列表的名称和凭据(托管在与MongoDB相同的IP上)。据我推测,这应该不是公共数据。”