2019年2月25日,安全研究员 Bob Diachenko 和 Vinny Troia发现了一个不受密码保护的150gb大小的MongoDB实例。
“这可能是我所报道过的最大、最全面的电子邮件数据库。经过核实,我对任何人都可以通过互联网公开访问的大量电子邮件感到震惊。有些数据比电子邮件地址更详细,包括个人身份信息。”
据了解,这个数据库包含4个单独的数据集合,总数结合起来是惊人的808,539,939条记录。其中最大的部分被命名为“mailEmailDatabase”,里面有三个文件夹:
电子邮件记录(计数:798,171,891条记录)
手机邮件记录(计数:4,150,600条记录)
业务线索(统计:6,217,358项记录)
电子邮件记录的结构包括zip /电话/地址/性别/电子邮件/用户IP / DOB:
作为验证过程的一部分,他用Troy Hunt的HaveIBeenPwned数据库反复检查了随机选择的记录。最后他得出的结论是,这不是对之前网上泄露内容的收集,而是完全崭新的数据。尽管并非所有记录都包含关于电子邮件所有者的详细个人信息,但大量记录都非常详细。
该数据库的所有者是电邮验证公司 Verifications.io,它在收到报告之后便把数据库下线了。该数据库被由于电邮营销,从事电邮营销的公司需要验证电子邮件是否有效,但如果亲自验证的话可能会被识别为垃圾邮件,因此这些企业将验证工作外包给 Verifications.io 这样的公司,以避免被反垃圾邮件过滤器加入到黑名单,而 Verifications 验证邮件本质上也是发送 Spam,但它并不担心被屏蔽。Verifications 的数据库包含了 8.09 亿条记录,主要是名字、电邮地址、电话号码、住址。但还有部分记录包含了更详细的个人身份信息如性别、出生日期、贷款金额、利息、相关 Facebook、LinkedIn 和 Instagram 账号。
这是近期内的第几起MongoDB数据库泄露事件了?为什么大家用MongoDB总是不设置密码保护呢?
