MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

栏目: 数据库 · 发布时间: 6年前

MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

Kars4Kids是一家成立于1994年的慈善机构,总部设在美国新泽西州莱克伍德,将其大部分收益都捐赠给了Oorah,一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织。

在11月3日,网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了一个似乎是可公开访问的 MongoDB 数据库。经过进一步调查,这些数据似乎包含了21,612名Kars4Kids捐赠者的电子邮箱地址和其他个人信息,以及超级管理员用户名和密码。

MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

更糟糕的是,有网络犯罪分子可能已经使用这些用户名和密码访问了Kars4Kids仪表板的内部帐户,这将使得他们能够访问更敏感的数据。例如,度假券(向捐赠者提供的免费假期)和收据,以及包括电子邮箱地址、家庭住址和电话号码等在内的个人信息。

MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

Diachenko表示,由于安全研究人员从来不会绕过密码或访问此类数据,因此他也只能推测网络罪犯分子可以很容易地登录到帐户或滥用超级管理员权限。

MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

Diachenko还表示,他们已经碰到了多起配置错误的MongoDB案例,其中大多数都是因为人为错误导致数据库无需密码即可公开访问。对于本案例而言,任何能够连接到互联网的人都可以访问Kars4Kids的数据。事实上,有明显的证据表明,有网络犯罪分子已经在该机构的数据库中放入了一封勒索信。

在2017年,三个黑客团伙清空了大约2.6万个MongoDB数据库,并要求受害者支付一定数额的赎金(平均每个数据库650美元)以恢复数据。曾有安全专家估计,共计约有多达7.5万个数据库都遭遇过类似事件。在今年3月份,Diachenko进行了一项测试。他创建了一个包含30GB虚假数据的蜜罐数据库,而黑客只用了3个小时就识别出了这个数据库,然后在短短13秒内就清空了数据并留下了一封勒索信,要求支付0.2比特币。

Diachenko表示,他们目前无法确认网络犯罪分子是否已经下载了Kars4Kids的整个数据库,但勒索信的存在让我们相信这种怀疑是可能成立的。另外,目前也无法确认在Kars4Kids发送通知以及该数据库最终获得保护之前,这些数据已经暴露了多长时间,或者有多少人已经获取到了这些数据。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

走进搜索引擎

走进搜索引擎

梁斌 / 电子工业出版社 / 2007-1 / 49.80元

《走进搜索引擎》由搜索引擎开发研究领域年轻而有活力的科学家精心编写,作者将自己对搜索引擎的深刻理解和实际应用巧妙地结合,使得从未接触过搜索引擎原理的读者也能够轻松地在搜索引擎的大厦中邀游一番。《走进搜索引擎》作为搜索引擎原理与技术的入门书籍,面向那些有志从事搜索引擎行业的青年学生、需要完整理解并优化搜索引擎的专业技术人员、搜索引擎的营销人员,以及网站的负责人等。《走进搜索引擎》是从事搜索引擎开发的......一起来看看 《走进搜索引擎》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

html转js在线工具
html转js在线工具

html转js在线工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具