专栏首页黑白安全研究人员发现可公开访问的包含 1100 万条记录的 MongoDB 数据库

研究人员发现可公开访问的包含 1100 万条记录的 MongoDB 数据库

安全研究员Bob Diachenko发现了一个可公开访问的MongoDB数据库,其中包含43.5 GB的数据和10.999.535的Yahoo电子邮件地址。除其他细节外,数据库中包含的每条记录都包括电子邮件地址,全名和性别,以及其他敏感的个人数据,如城市和邮政编码,以及实际地址。

更重要的是,除了电子邮件地址之外,还有关于邮件服务器在联系时发送状态的信息,详细说明邮件是否已发送或服务器是否拒绝了电子邮件。正如Diachenko所发现的那样,自从9月13日互联网设备搜索引擎将其编入索引时,该数据库处于在线状态并被曝光,其中包含“受损”标签和0.4 BTC赎金票据。

奇怪的是,尽管被成功破坏并且不良行为者要求数据库所有者索要赎金,但当研究人员访问数据库时,数据库未加密。暴露的数据库没有提供关于谁拥有泄露数据的任何暗示,但Diachenko发现线索,记录器本可以用作SaverSpy运营的电子营销活动的一部分,SaverSpy是一个以处理来自Coupons.com的优惠而闻名的。

Diachenko联系了两家被发现与暴露的电子营销数据库相关的组织,尽管没有收到任何人的回答,但数据库在他的联系尝试后很快就离线了。尽管Diachenko没有找到任何支付卡数据或电话号码,但是对于诈骗者,网络钓鱼者和垃圾邮件发送者来说,1100万个泄露记录中的每一个的电子邮件地址和电子邮件状态字段都是无价之宝。

添加收藏

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 复杂和变态的环境下jsp连接数据库

    1、jsp网站没有写入权限,有执行命令的时候,低权限,为了可以方便快速的读取文件。并且建立数据库连接可以使用小技巧在目标服务器上,搭建一个WEB服务。此WEB服...

    周俊辉
  • 社会工程学之手机号伪造

    任意显示手机号,使用者想令对方看到你的手机号是怎样的,对方就看到是怎样的,不会显示机主号。

    周俊辉
  • MSSQL手工注入总结

    之前搞mssql数据库的注入都是直接跑工具,但是总是有些注入点工具一扫就崩,关键时候还是要手工注入,因此总结学习mssql手工注入,写此文留作笔记。本次主要总结...

    周俊辉
  • 说说 Django 如何优雅地对接 Mongodb

    近来在研究 Django 对接 MongoDB 数据库,遇到一些坑,自己随便做下总结。

    猴哥yuri
  • MySQL的体系结构

    在使用淘宝网进行购物过程中,当我们查询商品时,实际上是查询淘宝网数据库中的商品;当我们购买某一件商品时,我们是在向淘宝网的数据库的订单中,填写了一条购买信息;当...

    搬砖俱乐部
  • Oracle 数据库名、实例名、Oracle_SID

    本文参考自ORACLE 数据库名、实例名、ORACLE_SID的区别,纯属读书笔记,加深记忆 在ORACLE7、8数据库中只有数据库名(db_name)和数据库...

    郑小超.
  • JDBC(一)获取数据库连接

    持久化(persistence):把数据保存到可掉电式存储设备中以供之后使用。大多数情况下,特别是企业级应用,数据持久化意味着将内存中的数据保存到硬盘上加以”固...

    leeqico
  • 数据库连接工具DBeaver

    dbeaver是免费和开源(GPL)为开发人员和数据库管理员通用数据库工具。

    Learning_斌
  • 5G风起,未来数据库有哪些关键词?

    在自己工作的领域中,发现快乐是我坚持做技术的动力。而技术域其实就是一个画圆的过程,当你发现你的圈圈画得越大,需要求知的东西也就越多。每天必须保持一种持续学习,和...

    TVP官方团队
  • 数据库测试的重要性、组件和过程

    企业级的服务系统通常是复杂的,一般都是多层设计,包括用户界面、业务逻辑、数据访问层和数据库层等。要确保服务按预期运行,所有这些层都需要一致且准确的协同工作。

    苦叶子

扫码关注云+社区

领取腾讯云代金券