MongoDB可公开访问，美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

Kars4Kids是一家成立于1994年的慈善机构，总部设在美国新泽西州莱克伍德，将其大部分收益都捐赠给了Oorah，一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织。

在11月3日，网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了一个似乎是可公开访问的 MongoDB 数据库。经过进一步调查，这些数据似乎包含了21,612名Kars4Kids捐赠者的电子邮箱地址和其他个人信息，以及超级管理员用户名和密码。

更糟糕的是，有网络犯罪分子可能已经使用这些用户名和密码访问了Kars4Kids仪表板的内部帐户，这将使得他们能够访问更敏感的数据。例如，度假券（向捐赠者提供的免费假期）和收据，以及包括电子邮箱地址、家庭住址和电话号码等在内的个人信息。

Diachenko表示，由于安全研究人员从来不会绕过密码或访问此类数据，因此他也只能推测网络罪犯分子可以很容易地登录到帐户或滥用超级管理员权限。

Diachenko还表示，他们已经碰到了多起配置错误的MongoDB案例，其中大多数都是因为人为错误导致数据库无需密码即可公开访问。对于本案例而言，任何能够连接到互联网的人都可以访问Kars4Kids的数据。事实上，有明显的证据表明，有网络犯罪分子已经在该机构的数据库中放入了一封勒索信。

在2017年，三个黑客团伙清空了大约2.6万个MongoDB数据库，并要求受害者支付一定数额的赎金（平均每个数据库650美元）以恢复数据。曾有安全专家估计，共计约有多达7.5万个数据库都遭遇过类似事件。在今年3月份，Diachenko进行了一项测试。他创建了一个包含30GB虚假数据的蜜罐数据库，而黑客只用了3个小时就识别出了这个数据库，然后在短短13秒内就清空了数据并留下了一封勒索信，要求支付0.2比特币。

Diachenko表示，他们目前无法确认网络犯罪分子是否已经下载了Kars4Kids的整个数据库，但勒索信的存在让我们相信这种怀疑是可能成立的。另外，目前也无法确认在Kars4Kids发送通知以及该数据库最终获得保护之前，这些数据已经暴露了多长时间，或者有多少人已经获取到了这些数据。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。