0

MongoDB数据库因安全漏洞,导致Family Locator泄露二十多万名用户数据

ADMIN 2019-09-04
589

Family Locator应用程序,非常类似于Apple的“查找我的朋友”应用程序的功能,允许用户跟踪家庭成员并设置地理围栏功能。例如,当家庭成员离开工作或到达学校时通知用户。根据TechCrunch的说法,由于没有受到保护的MongoDB数据库允许任何知道服务器确切细节的人访问这些信息。不安全的MongoDB数据库暴露了200GB的Veeam客户数据,这个数据不是本月第一次曝光。


20190903105730641.jpg


暴露的数据库是由安全研究员和GDI基金会成员Sanyam Jain发现的,GDI基金会是一个非营利组织,负责检测和分析犯罪机会并公开分享。数据库中找不到的数据都没有加密:名称,电子邮件地址,个人资料照片和明文密码都可以轻松访问,并且地理位置的位置与指定的名称一起可见。这就意味着,不仅知道用户的位置,还知道他们的居住地点,工作地点以及他们的孩子在哪里接受教育。Synopsys的高级安全工程师Boris Cipot说:“不幸的是,这是另一个非专业技术处理导致数据泄露的案例。这种严重的不当行为不应该发生,但正如我们经常看到的那样,他们会这样做,而且如果安全程序没有得到正确执行或被忽视,通常就会发生这种情况。安全不应该掉以轻心,尤其是在处理某人委托给你的数据时。”


Family Locator React Apps的开发人员对数据泄露没有反应,TechCrunch的试图联系该公司超过一周,但因为网站没有联系信息,澳大利亚证券和投资委员会的记录仅返回该公司所有者的名称。该数据库后来由于在Azure云上托管而被拉下线,但不知道数据库暴露多长时间。Arxan Technologies的高级技术总监EMEA表示,“让家人保持安全并允许家长监控孩子下落的应用,实际上是让任何人都无法保护和访问数据,这一点很可怕。我们每天都强调应用程序安全的重要性,但不幸的是,除非应用程序所连接的所有内容都是安全的,否则仍然会给消费者带来危险。在开发应用程序时,构建过程和安全性至关重要过程应该结合在一起,安全性和数据保护都不应该是事后的想法,现实情况却是糟糕的,甚至完全被忽视的。“


本月早些时候MongoDB因另一次数据泄露而出现问题,研究员Bob Diachenko发现了一个包含8.09亿封电子邮件记录的无保护数据库,其中许多包含个人身份信息。大多数记录包含每个条目的姓氏,电子邮件地址,性别信息,邮政编码和IP地址,这些记录与流行的HaveIBeenPwned网站进行了交叉核对。当安全公司DynaRisk确认泄露记录的数量实际上比最初想象的高三倍时,事情变得更糟,实际数字超过20亿。

最后修改时间:2019-09-05 14:53:51
「喜欢文章,快来给作者赞赏墨值吧」
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论

关注
最新发布
暂无内容,敬请期待...
数据库资讯
最新 热门 更多
本月热门
近期活动
全部
暂无活动,敬请期待...
相关课程
全部