MongoDB配置不当,近70万美国运通印度分公司客户联系信息遭泄露

栏目: 数据库 · 发布时间: 6年前

MongoDB配置不当,近70万美国运通印度分公司客户联系信息遭泄露

据外媒ZDNet报道,近70万名美国运通(Amex)印度分公司客户的个人详细信息在最近被一名安全研究人员发现通过一台存在配置错误的 MongoDB 服务器暴露在了网上。

大约在三个星期以前,国际网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了这台漏洞百出的服务器。该服务器不仅能够被公开访问,而且没有设置密码。

虽然该服务器上的大多数记录似乎都经过了加密处理,需要解密密钥才能够查看。但Bob Diachenko表示,其中有689,272条记录是以明文形式存储的,这也就意味着任何发现了该服务器的人都可以对这些记录进行查看。

根据Bob Diachenko的说法,这些以明文形式存储的记录包含了美国运通印度分公司客户的个人详细信息,如电话号码、全名、电子邮箱地址和支付卡类型等。虽然这些数据似乎并不过于敏感,但很可能会对垃圾电子邮件活动起到推动作用。

另一方面,经过加密处理的记录共计包含了2,332,115个条目,涉及到更多的个人信息。从MongoDB数据库表的头文件来看,其中很可能存储有该公司客户的姓名、住址、Aadhar编号(印度政府唯一身份证号码)、永久性账号卡(PAN card)编号和电话号码。

MongoDB配置不当,近70万美国运通印度分公司客户联系信息遭泄露

此外,暴露的MongoDB服务器数据库中的其他表也包含了americanexpressindia.co.in域上账户的链接和访问详细细节。

MongoDB配置不当,近70万美国运通印度分公司客户联系信息遭泄露

“经过更加深入的研究,我倾向于认为,该数据库并不是由美国运通本身负责管理的,而是由该公司负责搜索引擎优化或挖掘潜在客户的分包商负责管理的。” Bob Diachenko说,“因为许多条目都包含诸如‘campaignID’、‘prequalstatus’、‘leadID’这样的字段。”

Bob Diachenko告诉ZDNet,美国运通印度分公司在收到他通知的同一天对暴露的服务器进行了离线处理。不过,目前还不清楚该服务器已经在网上暴露了多长时间。

美国运通印度分公司表示,随后的调查没有发现任何“未经授权访问的证据”,这表明Bob Diachenko可能是唯一一个在暴露期间访问过该服务器的人。

Diachenko还告诉ZDNet,他无法追踪到负责管理该服务器具体公司,而美国运通印度分公司也没有透露与之相关的任何信息。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

图解深度学习

图解深度学习

[日] 山下隆义 / 张弥 / 人民邮电出版社 / 2018-5 / 59.00元

本书从深度学习的发展历程讲起,以丰富的图例从理论和实践两个层面介绍了深度学习的各种方法,以及深度学习在图像识别等领域的应用案例。内容涉及神经网络、卷积神经网络、受限玻尔兹曼机、自编码器、泛化能力的提高等。此外,还介绍了包括Theano、Pylearn2、Caffe、DIGITS、Chainer 和TensorFlow 在内的深度学习工具的安装和使用方法。 本书图例丰富,清晰直观,适合所有对深......一起来看看 《图解深度学习》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具