總部位于加利福尼亞州圣地亞哥的Digital Point自稱是“世界上最大的網(wǎng)站管理員社區(qū)”,匯集了自由職業(yè)者,營銷人員,編碼人員和其他創(chuàng)意專業(yè)人員。
7月1日,行星網(wǎng)站研究小組和網(wǎng)絡(luò)安全研究員杰里米·福勒發(fā)現(xiàn)了一個(gè)不安全的Elasticsearch數(shù)據(jù)庫,其中包含超過6200萬條記錄。該泄漏總共泄露了863,412條Digital Point用戶的數(shù)據(jù)。據(jù)該團(tuán)隊(duì)稱,姓名,電子郵件地址和內(nèi)部用戶ID號是公開可用的。
此外,內(nèi)部記錄和用戶發(fā)布的詳細(xì)信息都存儲在開放的數(shù)據(jù)庫中。在檢查數(shù)據(jù)庫查找所有者是誰時(shí),研究人員偶然間發(fā)現(xiàn)了與論壇成員舉報(bào)帖子有關(guān)的數(shù)據(jù)集。以及這些報(bào)告背后的原因:包括對“不良的商業(yè)交易”,垃圾郵件等,指控以及其他原因,其中一些被描述為 “瑣碎和私人的”。
除了用戶數(shù)據(jù)被盜和網(wǎng)絡(luò)釣魚等常見的安全后果外,數(shù)據(jù)庫可能已經(jīng)成為屈服于Meow Bot的眾多軟件之一,Meow Bot是一種自動化腳本,該腳本在7月造成了數(shù)千個(gè)不安全的MongoDB和Elasticsearch數(shù)據(jù)庫的受損。一旦部署腳本后,它將使用數(shù)字和單詞“meow”來覆蓋數(shù)據(jù)。
該小組稱:“使用非密碼保護(hù)數(shù)據(jù)庫的危險(xiǎn)之一是,它是一個(gè)等待被竊取,被加密后勒索或被刪除的目標(biāo)。”
福勒于7月1日通過在數(shù)據(jù)庫中找到合適的電子郵件地址,將負(fù)責(zé)任的披露通知發(fā)送給Digital Point。該警報(bào)已得到重視,并在數(shù)小時(shí)內(nèi)撤消了對數(shù)據(jù)庫的訪問。但是,該論壇沒有與研究人員進(jìn)行交流,也未響應(yīng)后續(xù)要求。
及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)
【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用
本文來源:zdnet.com
如涉及侵權(quán),請及時(shí)與我們聯(lián)系,我們會在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負(fù)責(zé)人:張明
工商執(zhí)照