【译】某电子邮件营销公司的 MongoDB 数据库泄漏了1100万条用户记录

周一，一位专门寻找暴露数据库的安全研究人员发现了一个不安全的MongoDB服务器泄露了近1100万用户的个人信息。该服务器似乎属于加利福尼亚州的电子邮件营销公司。

包含在43.5GB数据集中的数据包括全名，电子邮件地址，性别信息和物理地址，例如10,999,535个用户的州，城市和邮政编码。

此数据库中包含的所有电子邮件地址都是基于Yahoo的，这表明这只是较大数据集的一小部分，很可能存储在多个服务器上。

除个人用户信息外，数据还包含关于用户收到的消息的DNS详细信息和电子邮件传送状态信息。

发现该漏洞并与ZDNet 分享他的调查结果的安全研究员Bob Diachenko表示，该数据库至少从9月13日开始在线曝光，这是Shodan搜索引擎最后编入索引的日期，并将其标记为“受损” 服务器。

数据库收到此标记，因为除了正常内容外，它还包含一个名为“Warning”的表，其中包含带有以下文本的数据集合：

"Your Databa se is downloaded and backed up on our secured servers. To recover your lost data: Send 0.4 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored. You can apply for a backup summary within 12 hours. Then we will delete the backup. You are welcome!"

“ 您的数据库已下载并在我们的安全服务器上备份。要恢复丢失的数据：将0.4 BTC发送到我们的比特币地址，并通过电子邮件联系我们，并提供您的服务器IP地址和付款证明。任何没有您的服务器IP地址和付款证明一起发送的电子邮件将被忽略，您可以在12小时内申请备份摘要，否则我们将删除备份。欢迎您！ “

Bob Diachenko

这是自2016年底以来暴露在暴露的MongoDB数据库中的典型勒索记录。

这次特殊攻击背后的团体要求通过“ 3GKioTFrCFYcTmZR4DXPGatTXXp6Ugcq79 ”比特币地址支付0.4比特币（2,400美元）的赎金。该地址目前持有1.6比特币，共计四笔款项。

谷歌搜索这个特殊的消息，比特币和电子邮件地址，搜索结果显示，在6月下旬中国就有一些MongoDB服务器拥有者反映了这种情况。

由于MongoDB勒索者倾向于以不同的时间间隔轮换电子邮件地址和消息，因此在暴露的服务器上出现此注释表明该数据库也在6月下旬暴露，当时该特定数据库勒索活动已全面展开。

此外，这两名中国服务器拥有者报告说，攻击者擦拭他们的数据库，企图强迫他们为了备份数据支付，攻击者显然没有得逞。

这个细节还表明，这个电子邮件营销公司的MongoDB数据库也在6月份被删除并恢复，并且即使在发生这种破坏性的安全事件之后仍然没有适当的安全控制。

虽然最初不清楚谁是这个数据库的所有者，但是几个记录中的一个小后缀，例如“ Content- SaverSpy -09092018 ” ，表明这些数据可能属于名为SaverSpy的公司。

结合简单的谷歌搜索以及暴露数据库中的用户记录的性质，本报记者和迪亚琴科都相信这些数据属于SaverSpy.com，这是一个每日交易网站。SaverSpy.com网站声称以Coupons.com品牌名下运营，但Quotient发言人今天告诉ZDNet，SaverSpy只是联盟计划的一部分。

ZDNet和Diachenko都向SaverSpy网站的运营商提醒了有关暴露服务器的信息。虽然我们没有收到公司的回复，但服务器今天早些时候已获得安全保护。

本月早些时候，Diachenko还发现了一台属于数据管理公司Veeam的服务器，该服务器泄露了超过4.45亿条记录。

◆来源：https://www.zdnet.com/article/mongodb-server-leaks-11-million-user-records-from-e-marketing-service/

◆本文版权归原作者所有，如有侵权请联系我们及时删除