信息來源:hackernews
Security Discovery 安全研究人員 Bob Diachenko,剛剛披露了一個可被公開訪問的 MongoDB 數(shù)據(jù)庫,其中包含了超過 8.08 億個電子郵件地址、以及其它純文本記錄。數(shù)據(jù)庫大小為 150GB,剩余的是涉及個人信息的數(shù)據(jù)緩存。該漏洞與 Verifications.io 的電子郵件驗證服務相關(guān),但于 2 月 25 日被曝光到互聯(lián)網(wǎng)上,且允許被公眾訪問。
Bob Diachenko 在一篇帖子中寫到:“經(jīng)過核實,我對網(wǎng)上曝光的這批數(shù)據(jù)體量感到震驚”。
泄露信息包含了 7.98 億的電子郵件記錄、超過 400 萬備注了電話號碼的 E-mail 地址、以及超過 600 萬條被識別為‘商業(yè)線索’的信息。
這總計超過 8.08 億條的記錄,最終可追溯到一個名為 Verifications.io 的上。
這些記錄中的信息,包括了電子郵件、用戶 IP 地址、出生日期、郵政編碼、地址、性別、電話號碼等內(nèi)容。安全專家稱之為‘一組完全獨特的數(shù)據(jù)’。
在向 Verifications.io 傳達了安全報告之后,現(xiàn)網(wǎng)站已處于脫機狀態(tài)。
由屏幕截圖可知,該公司主要面向企業(yè)提供“電子郵件驗證”服務 —— 顯然涉及讓客戶上傳電子郵件地址列表以進行驗證的操作。
該公司一名員工在郵件中回應稱,其已對做好了保護:
經(jīng)過仔細檢查,我們發(fā)現(xiàn)用于附加信息的數(shù)據(jù)庫似乎出現(xiàn)了短暫的暴露。這基于我們所使用的公共信息,而非客戶構(gòu)建的企業(yè)數(shù)據(jù)庫。
然而 Bob Diachenko 對這一說法表示懷疑,其在帖子中寫到:
既然數(shù)據(jù)是公開的,那為何關(guān)閉了數(shù)據(jù)庫、又讓網(wǎng)站處于脫機狀態(tài)呢?除了電子郵件的配置文件外,數(shù)據(jù)庫中還包含了某些列表用戶的詳細信息(130 條記錄)。
比如訪問 FTP 服務器用的上傳 / 下載郵件列表的名稱和登陸憑證(與 MongoDB 托管在同一個 IP 上)。我們只能推測,這些其實并非公共數(shù)據(jù)。