MongoDB数据库又泄露了,8亿电邮地址,原因是:没设密码

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/11 10:49:30 19次阅读 国际
文章来源:https://www.toutiao.com/a6666938370922381832/

2019年2月25日,安全研究员 Bob Diachenko 和 Vinny Troia发现了一个不受密码保护的150gb大小的MongoDB实例。

“这可能是我所报道过的最大、最全面的电子邮件数据库。经过核实,我对任何人都可以通过互联网公开访问的大量电子邮件感到震惊。有些数据比电子邮件地址更详细,包括个人身份信息。”

据了解,这个数据库包含4个单独的数据集合,总数结合起来是惊人的808,539,939条记录。其中最大的部分被命名为“mailEmailDatabase”,里面有三个文件夹:

  • 电子邮件记录(计数:798,171,891条记录)
  • 手机邮件记录(计数:4,150,600条记录)
  • 业务线索(统计:6,217,358项记录)
MongoDB数据库又泄露了,8亿电邮地址,原因是:没设密码

电子邮件记录的结构包括zip /电话/地址/性别/电子邮件/用户IP / DOB:

MongoDB数据库又泄露了,8亿电邮地址,原因是:没设密码

作为验证过程的一部分,他用Troy Hunt的HaveIBeenPwned数据库反复检查了随机选择的记录。最后他得出的结论是,这不是对之前网上泄露内容的收集,而是完全崭新的数据。尽管并非所有记录都包含关于电子邮件所有者的详细个人信息,但大量记录都非常详细。

该数据库的所有者是电邮验证公司 Verifications.io,它在收到报告之后便把数据库下线了。该数据库被由于电邮营销,从事电邮营销的公司需要验证电子邮件是否有效,但如果亲自验证的话可能会被识别为垃圾邮件,因此这些企业将验证工作外包给 Verifications.io 这样的公司,以避免被反垃圾邮件过滤器加入到黑名单,而 Verifications 验证邮件本质上也是发送 Spam,但它并不担心被屏蔽。Verifications 的数据库包含了 8.09 亿条记录,主要是名字、电邮地址、电话号码、住址。但还有部分记录包含了更详细的个人身份信息如性别、出生日期、贷款金额、利息、相关 Facebook、LinkedIn 和 Instagram 账号。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室