摘要:本月第二次,未受保护的MongoDB数据库因大量安全漏洞而导致敏感信息泄露,受欢迎的家庭跟踪应用程序Family Locator已经暴露了超过238,000名用户的实时未加密位置数据。
该应用程序非常类似于Apple的“查找我的朋友”应用程序的功能,允许用户跟踪家庭成员并设置地理围栏功能,例如,当家庭成员离开工作或到达学校时通知用户。
根据TechCrunch的说法,由于没有受到保护的MongoDB数据库允许任何知道服务器确切细节的人访问这些信息,因此这个数据不是本月第一次曝光。
不安全的MongoDB数据库暴露了200GB的Veeam客户数据
暴露的数据库是由安全研究员和GDI基金会成员Sanyam Jain发现的,GDI基金会是一个非营利组织,负责检测和分析犯罪机会并公开分享。
数据库中找不到的数据都没有加密:名称,电子邮件地址,个人资料照片和明文密码都可以轻松访问,并且地理位置的位置与指定的名称一起可见。不仅要知道用户的位置,还要了解他们的居住地点,工作地点以及他们的孩子在哪里接受教育,这将毫不费力。
Synopsys的高级安全工程师Boris Cipot说:“不幸的是,这是另一个非专业技术处理导致数据泄露的案例。”
“这种严重的不当行为不应该发生,但正如我们经常看到的那样,他们会这样做,而且如果安全程序没有得到正确执行或被忽视,通常就会发生这种情况,”他说。“安全不应该掉以轻心,尤其是在处理某人委托给你的数据时。”
Family Locator React Apps的开发人员对媒体的方法没有反应。TechCrunch的试图联系该公司超过一周,但其网站没有联系信息,澳大利亚证券和投资委员会的记录仅返回该公司所有者的名称。
该数据库后来由于其在Azure云上托管而被拉下线,但不知道数据库暴露多长时间。
Arxan Technologies的高级技术总监EMEA表示,“让家人保持安全并允许家长监控孩子下落的应用实际上是让任何人都无法保护和访问数据,这一点很可怕。”
“我们每天都强调应用程序安全的重要性,但不幸的是,除非应用程序所连接的所有内容都是安全的,否则仍然会给消费者带来危险。在开发应用程序时,构建过程和安全性至关重要过程应该结合在一起 - 安全性和数据保护都不应该是事后的想法,甚至更糟,完全被忽视。“
本月早些时候MongoDB因另一次数据泄露而出现问题;研究员Bob Diachenko发现了一个包含8.09亿封电子邮件记录的无保护数据库,其中许多包含个人身份信息。
当安全公司DynaRisk确认泄露记录的数量实际上比最初想象的高三倍时,事情变得更糟,实际数字超过20亿。
大多数记录包含每个条目的姓氏,电子邮件地址,性别信息,邮政编码和IP地址。这些记录与流行的HaveIBeenPwned网站进行了交叉核对,该网站显示以前未发现数据泄露的数据,这意味着这一发现是新的,受影响的人之前并未成为数据泄露的对象。
出处:https://www.modb.pro/db/6319
