Family Locator应用程序,非常类似于Apple的“查找我的朋友”应用程序的功能,允许用户跟踪家庭成员并设置地理围栏功能。例如,当家庭成员离开工作或到达学校时通知用户。根据TechCrunch的说法,由于没有受到保护的MongoDB数据库允许任何知道服务器确切细节的人访问这些信息。不安全的MongoDB数据库暴露了200GB的Veeam客户数据,这个数据不是本月第一次曝光。
暴露的数据库是由安全研究员和GDI基金会成员Sanyam Jain发现的,GDI基金会是一个非营利组织,负责检测和分析犯罪机会并公开分享。数据库中找不到的数据都没有加密:名称,电子邮件地址,个人资料照片和明文密码都可以轻松访问,并且地理位置的位置与指定的名称一起可见。这就意味着,不仅知道用户的位置,还知道他们的居住地点,工作地点以及他们的孩子在哪里接受教育。Synopsys的高级安全工程师Boris Cipot说:“不幸的是,这是另一个非专业技术处理导致数据泄露的案例。这种严重的不当行为不应该发生,但正如我们经常看到的那样,他们会这样做,而且如果安全程序没有得到正确执行或被忽视,通常就会发生这种情况。安全不应该掉以轻心,尤其是在处理某人委托给你的数据时。”
Family Locator React Apps的开发人员对数据泄露没有反应,TechCrunch的试图联系该公司超过一周,但因为网站没有联系信息,澳大利亚证券和投资委员会的记录仅返回该公司所有者的名称。该数据库后来由于在Azure云上托管而被拉下线,但不知道数据库暴露多长时间。Arxan Technologies的高级技术总监EMEA表示,“让家人保持安全并允许家长监控孩子下落的应用,实际上是让任何人都无法保护和访问数据,这一点很可怕。我们每天都强调应用程序安全的重要性,但不幸的是,除非应用程序所连接的所有内容都是安全的,否则仍然会给消费者带来危险。在开发应用程序时,构建过程和安全性至关重要过程应该结合在一起,安全性和数据保护都不应该是事后的想法,现实情况却是糟糕的,甚至完全被忽视的。“
本月早些时候MongoDB因另一次数据泄露而出现问题,研究员Bob Diachenko发现了一个包含8.09亿封电子邮件记录的无保护数据库,其中许多包含个人身份信息。大多数记录包含每个条目的姓氏,电子邮件地址,性别信息,邮政编码和IP地址,这些记录与流行的HaveIBeenPwned网站进行了交叉核对。当安全公司DynaRisk确认泄露记录的数量实际上比最初想象的高三倍时,事情变得更糟,实际数字超过20亿。
