这次数据泄漏是印度,虽然数据量与前几期文章提到的数以亿计的泄漏比,不是太多,不过也是值得关注的一个案例。一名安全研究人员发现了一个不安全的服务器,泄露了近50万印度公民的个人详细信息,一个MongoDB数据库实例不受保护,任何人在无密码的情况下都可以访问。

Bob Diachenko的一份报告中透露,几天前他在网上发现了一个4.1 GB大小的高敏感数据库,名为“ GNCTD ”,其中收集数据包含在德里458,388名个人的信息,包括他们的Aadhaar号码和选民ID。虽然目前尚不清楚暴露的数据库是否与德里国家首都辖区政府(GNCTD)相关联,但Diachenko发现该数据库包含“transerve.com”域的引用和电子邮件地址,用于向“高级主管”注册的用户,以及“超级管理员”的名称。

根据Transerve Technologies网站上提供的信息描述 ,该公司是一家专注于智慧城市解决方案和先进数据采集技术的公司。该公司的数据采集器、精确制图和位置智能工具可帮助各行业和政府机构的企业利用地理位置数据智能地做出明智的决策。泄漏的数据库包含以下表:

  • EB Users (14,861 records)

  • Households (102,863 records)

  • Individuals (458,388 records)

  • Registered Users (399 records)

  • Users (2,983 records)

由Diachenko分析,其中一个包含注册用户的数据库表包括电子邮件地址,散列密码和用于管理员访问的用户名。个人收藏中包含的最详细的信息基本上是一个人的相当详细的肖像,包括健康状况、教育等,家庭收集包含诸如'名称'、'房屋号'、'楼层号'、'地理位置'、区域详细信息、主管''email_ID'等字段,'家庭的'厕所类型' 、“功能水表”、“配额卡号”、“互联网设施可用情况”,甚至“信息名称”字段。Diachenko说:“现在还不知道数据库在线的时间长短以及是否有其他人访问过它。”在未能得到Transerve回应电子邮件泄漏时,Diachenko将情况汇报给了印度CERT,后者与该公司进一步协调,要求其暴露的数据库立即采取脱机处理。

”Diachenko说:“暴露MongoDB或类似NoSQL数据库的危险是一个巨大的风险。我们之前曾报道,缺乏身份验证允许在数千台MongoDB服务器上安装恶意软件或勒索软件。通用配置允许网络犯罪分子完全获得管理权限管理整个系统。一旦恶意软件犯罪分子部署恶意软件,就可以远程访问服务器资源,甚至执行代码来窃取或完全销毁服务器上保存的任何数据。”

MongoDB是现阶段最受各类不同规模公司欢迎的开源NoSQL数据库,从eBay和Sourceforge到纽约时报和LinkedIn。同时,从以往案例看,这并不是第一次发现MongoDB实例暴露到Internet。近年来,国内外发布好多安全报告和预警都有案例,其中未受保护的数据库服务器暴露数据有十亿条记录之多。当然数据库是给精通它的人来维护的,所以这些数据泄漏不都是MongoDBs的错误,其实MongoDB总是建议管理员遵循MongoDB维护者提供的  安全检查表。在2.6.0之前的旧版MongoDB中,默认配置使数据库在一个可公开访问的端口上进行监听,管理员应该对此进行重新合理配置它以供在线使用,但很多人都忽略了此安全问题,未对此进行重新合理配置。

声明:本文来自鼎信信息安全测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。