信息來(lái)源:hackernews
Security Discovery 安全研究人員 Bob Diachenko,剛剛披露了一個(gè)可被公開(kāi)訪問(wèn)的 MongoDB 數(shù)據(jù)庫(kù)�����,其中包含了超過(guò) 8.08 億個(gè)電子郵件地址�����、以及其它純文本記錄。數(shù)據(jù)庫(kù)大小為 150GB����,剩余的是涉及個(gè)人信息的數(shù)據(jù)緩存。該漏洞與 Verifications.io 的電子郵件驗(yàn)證服務(wù)相關(guān)�����,但于 2 月 25 日被曝光到互聯(lián)網(wǎng)上��,且允許被公眾訪問(wèn)�。
Bob Diachenko 在一篇帖子中寫(xiě)到:“經(jīng)過(guò)核實(shí),我對(duì)網(wǎng)上曝光的這批數(shù)據(jù)體量感到震驚”����。
泄露信息包含了 7.98 億的電子郵件記錄、超過(guò) 400 萬(wàn)備注了電話號(hào)碼的 E-mail 地址�����、以及超過(guò) 600 萬(wàn)條被識(shí)別為‘商業(yè)線索’的信息�。
這總計(jì)超過(guò) 8.08 億條的記錄,最終可追溯到一個(gè)名為 Verifications.io 的上�。
這些記錄中的信息����,包括了電子郵件�����、用戶 IP 地址��、出生日期�、郵政編碼����、地址、性別����、電話號(hào)碼等內(nèi)容。安全專家稱之為‘一組完全獨(dú)特的數(shù)據(jù)’��。
在向 Verifications.io 傳達(dá)了安全報(bào)告之后����,現(xiàn)網(wǎng)站已處于脫機(jī)狀態(tài)。
由屏幕截圖可知���,該公司主要面向企業(yè)提供“電子郵件驗(yàn)證”服務(wù) —— 顯然涉及讓客戶上傳電子郵件地址列表以進(jìn)行驗(yàn)證的操作����。
該公司一名員工在郵件中回應(yīng)稱,其已對(duì)做好了保護(hù):
經(jīng)過(guò)仔細(xì)檢查����,我們發(fā)現(xiàn)用于附加信息的數(shù)據(jù)庫(kù)似乎出現(xiàn)了短暫的暴露。這基于我們所使用的公共信息����,而非客戶構(gòu)建的企業(yè)數(shù)據(jù)庫(kù)。
然而 Bob Diachenko 對(duì)這一說(shuō)法表示懷疑���,其在帖子中寫(xiě)到:
既然數(shù)據(jù)是公開(kāi)的���,那為何關(guān)閉了數(shù)據(jù)庫(kù)、又讓網(wǎng)站處于脫機(jī)狀態(tài)呢�����?除了電子郵件的配置文件外���,數(shù)據(jù)庫(kù)中還包含了某些列表用戶的詳細(xì)信息(130 條記錄)����。
比如訪問(wèn) FTP 服務(wù)器用的上傳 / 下載郵件列表的名稱和登陸憑證(與 MongoDB 托管在同一個(gè) IP 上)。我們只能推測(cè)�����,這些其實(shí)并非公共數(shù)據(jù)����。
