更新时间:2026-01-28 07:26:15
开发经验
31一个巨大的MongoDB 数据库在两周多的时间里在没有任何保护的情况下在互联网上暴露了275,265,298 条印度公民的记录,其中包含详细的个人身份信息(PII)。安全发现研究员Bob Diachenko 使用Shodan 发现了一个托管在Amazon AWS 上的可公开访问的MongoDB 数据库,并且该平台提供的历史数据显示,大量PII 数据缓存已于2019 年4 月23 日建立索引。
进一步调查发现,暴露的数据包括姓名、性别、出生日期、电子邮件、手机号码、教育程度、职业信息(雇主、工作经历、技能、职能范围)和当前工资等信息。
数据库记录示例
虽然未受保护的MongoDB 数据库暴露了数亿印度人的敏感信息,但迪亚琴科没有找到任何将其与特定所有者联系起来的信息。
此外,存储在数据库中的数据集合的名称表明整个恢复缓存是出于未知目的“作为大规模抓取操作的一部分”收集的。
暴露的数据库内容
研究人员“立即通知了印度CERT 团队,但数据库一直保持开放和可搜索状态,直到5 月8 日被称为‘Unistellar’组织的黑客删除。”
数据库被黑客删除后,Diachenko 在删除所有数据后发现以下消息:
黑客留下的消息
Diachenko 还发现了多个其他不安全的数据库和服务器,其中一个可公开访问的140+ GB MongoDB 数据库包含3 月初以来的海量808,539,939 条电子邮件记录,另一个包含1 月份中国求职者的超过2 亿条简历记录。他还发现12 月份有超过6600 万人的个人信息暴露在互联网上,9 月份又发现了1100 万条记录,所有这些记录都存储在配置错误且无密码的MongoDB 实例中。
这些数据泄露之所以成为现实,是因为许多MongoDB 数据库可由其所有者公开访问,并且没有得到适当的保护。这意味着可以通过保护数据库实例来防止它们。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
