摘要：本月第二次，未受保護(hù)的MongoDB數(shù)據(jù)庫因大量安全漏洞而導(dǎo)致敏感信息泄露，受歡迎的家庭跟蹤應(yīng)用程序Family Locator已經(jīng)暴露了超過238,000名用戶的實時未加密位置數(shù)據(jù)。

成都創(chuàng)新互聯(lián)公司專注于企業(yè)成都營銷網(wǎng)站建設(shè)、網(wǎng)站重做改版、托克遜網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5高端網(wǎng)站建設(shè)、商城網(wǎng)站定制開發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為托克遜等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

該應(yīng)用程序非常類似于Apple的“查找我的朋友”應(yīng)用程序的功能，允許用戶跟蹤家庭成員并設(shè)置地理圍欄功能，例如，當(dāng)家庭成員離開工作或到達(dá)學(xué)校時通知用戶。

根據(jù)TechCrunch的說法，由于沒有受到保護(hù)的MongoDB數(shù)據(jù)庫允許任何知道服務(wù)器確切細(xì)節(jié)的人訪問這些信息，因此這個數(shù)據(jù)不是本月第一次曝光。

不安全的MongoDB數(shù)據(jù)庫暴露了200GB的Veeam客戶數(shù)據(jù)

暴露的數(shù)據(jù)庫是由安全研究員和GDI基金會成員Sanyam Jain發(fā)現(xiàn)的，GDI基金會是一個非營利組織，負(fù)責(zé)檢測和分析犯罪機(jī)會并公開分享。

數(shù)據(jù)庫中找不到的數(shù)據(jù)都沒有加密：名稱，電子郵件地址，個人資料照片和明文密碼都可以輕松訪問，并且地理位置的位置與指定的名稱一起可見。不僅要知道用戶的位置，還要了解他們的居住地點，工作地點以及他們的孩子在哪里接受教育，這將毫不費力。

Synopsys的高級安全工程師Boris Cipot說：“不幸的是，這是另一個非專業(yè)技術(shù)處理導(dǎo)致數(shù)據(jù)泄露的案例?！?/p>

“這種嚴(yán)重的不當(dāng)行為不應(yīng)該發(fā)生，但正如我們經(jīng)?？吹降哪菢?，他們會這樣做，而且如果安全程序沒有得到正確執(zhí)行或被忽視，通常就會發(fā)生這種情況，”他說。“安全不應(yīng)該掉以輕心，尤其是在處理某人委托給你的數(shù)據(jù)時?！?/p>

Family Locator React Apps的開發(fā)人員對媒體的方法沒有反應(yīng)。TechCrunch的試圖聯(lián)系該公司超過一周，但其網(wǎng)站沒有聯(lián)系信息，澳大利亞證券和投資委員會的記錄僅返回該公司所有者的名稱。

該數(shù)據(jù)庫后來由于其在Azure云上托管而被拉下線，但不知道數(shù)據(jù)庫暴露多長時間。

Arxan Technologies的高級技術(shù)總監(jiān)EMEA表示，“讓家人保持安全并允許家長監(jiān)控孩子下落的應(yīng)用實際上是讓任何人都無法保護(hù)和訪問數(shù)據(jù)，這一點很可怕?！?/p>

“我們每天都強(qiáng)調(diào)應(yīng)用程序安全的重要性，但不幸的是，除非應(yīng)用程序所連接的所有內(nèi)容都是安全的，否則仍然會給消費者帶來危險。在開發(fā)應(yīng)用程序時，構(gòu)建過程和安全性至關(guān)重要過程應(yīng)該結(jié)合在一起 - 安全性和數(shù)據(jù)保護(hù)都不應(yīng)該是事后的想法，甚至更糟，完全被忽視?！?br/>

本月早些時候MongoDB因另一次數(shù)據(jù)泄露而出現(xiàn)問題;研究員Bob Diachenko發(fā)現(xiàn)了一個包含8.09億封電子郵件記錄的無保護(hù)數(shù)據(jù)庫，其中許多包含個人身份信息。

當(dāng)安全公司DynaRisk確認(rèn)泄露記錄的數(shù)量實際上比最初想象的高三倍時，事情變得更糟，實際數(shù)字超過20億。

大多數(shù)記錄包含每個條目的姓氏，電子郵件地址，性別信息，郵政編碼和IP地址。這些記錄與流行的HaveIBeenPwned網(wǎng)站進(jìn)行了交叉核對，該網(wǎng)站顯示以前未發(fā)現(xiàn)數(shù)據(jù)泄露的數(shù)據(jù)，這意味著這一發(fā)現(xiàn)是新的，受影響的人之前并未成為數(shù)據(jù)泄露的對象。

出處：https://www.modb.pro/db/6319