Kars4Kids是一家成立于1994年的慈善机构,总部设在美国新泽西州莱克伍德,将其大部分收益都捐赠给了Oorah,一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织。

在11月3日,网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了一个似乎是可公开访问的MongoDB数据库。经过进一步调查,这些数据似乎包含了21,612名Kars4Kids捐赠者的电子邮箱地址和其他个人信息,以及超级管理员用户名和密码。

更糟糕的是,有网络犯罪分子可能已经使用这些用户名和密码访问了Kars4Kids仪表板的内部帐户,这将使得他们能够访问更敏感的数据。例如,度假券(向捐赠者提供的免费假期)和收据,以及包括电子邮箱地址、家庭住址和电话号码等在内的个人信息。

Diachenko表示,由于安全研究人员从来不会绕过密码或访问此类数据,因此他也只能推测网络罪犯分子可以很容易地登录到帐户或滥用超级管理员权限。

Diachenko还表示,他们已经碰到了多起配置错误的MongoDB案例,其中大多数都是因为人为错误导致数据库无需密码即可公开访问。对于本案例而言,任何能够连接到互联网的人都可以访问Kars4Kids的数据。事实上,有明显的证据表明,有网络犯罪分子已经在该机构的数据库中放入了一封勒索信。

在2017年,三个***团伙清空了大约2.6万个MongoDB数据库,并要求受害者支付一定数额的赎金(平均每个数据库650美元)以恢复数据。曾有安全专家估计,共计约有多达7.5万个数据库都遭遇过类似事件。在今年3月份,Diachenko进行了一项测试。他创建了一个包含30GB虚假数据的蜜罐数据库,而***只用了3个小时就识别出了这个数据库,然后在短短13秒内就清空了数据并留下了一封勒索信,要求支付0.2比特币。

Diachenko表示,他们目前无法确认网络犯罪分子是否已经下载了Kars4Kids的整个数据库,但勒索信的存在让我们相信这种怀疑是可能成立的。另外,目前也无法确认在Kars4Kids发送通知以及该数据库最终获得保护之前,这些数据已经暴露了多长时间,或者有多少人已经获取到了这些数据。

转载于:https://blog.51cto.com/13520190/2319396

美国慈善机构Kars4Kids意外泄露了上万名捐赠者的个人信息相关推荐

  1. 国内首个 App SDK 国家标准成功立项;苹果意外泄露iPhone 12发布时间;TypeScript 4.0 发布| 极客头条

    「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 国内要闻 国内首个 App SDK 国家标准成功立项,华为. ...

  2. 苹果意外泄露iPhone 12发布时间;阿里将停止印度部分服务;TypeScript 4.0 发布| 极客头条...

    整理 | 屠敏 头图 | CSDN 下载自东方 IC 快来收听极客头条音频版吧,智能播报由出门问问「魔音工坊」提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极 ...

  3. 美国信用评估机构遭黑客入侵,半数美国人受影响!

    最近,美国有家叫 Equifax 的公司摊上大事儿了! 这家总部位于亚特兰大的消费者信用报告机构,是与Experian和TransUnion并列的三大美国信贷机构之一. Equifax成立于1899年 ...

  4. 技术报告:APT组织Wekby利用DNS请求作为CC设施,攻击美国秘密机构

    技术报告:APT组织Wekby利用DNS请求作为C&C设施,攻击美国秘密机构 最近几周Paloalto Networks的研究人员注意到,APT组织Wekby对美国的部分秘密机构展开了一次攻击 ...

  5. 外媒:美国做空机构浑水放弃做空特斯拉

    8月13日消息,据国外媒体报道,特斯拉最严厉的批评者之一.美国做空机构浑水放弃做空特斯拉. 此前,浑水创始人卡森•布洛克(Carson Block)曾预测特斯拉会破产,并批评特斯拉CEO埃隆•马斯克( ...

  6. Bit Digital反驳美国做空机构J Capital对其比特币业务的虚假指控

    纳斯达克上市比特币矿业公司Bit Digital(BTBT)就美国做空机构J Capital Research的虚假指控进行了反驳.J Capital的报告称,Bit Digital的备案文件中显示该 ...

  7. 62套儿童行业响应式Html5儿童慈善机构网站模板儿童公益组织企业官网模板儿童慈善CSS模板下载婴儿树儿童健康食品整站模板html5网页静态模板Bootstrap扁平化网站源码css3手机seo自适响

    62套儿童行业响应式Html5儿童慈善机构网站模板儿童公益组织企业官网模板儿童慈善CSS模板下载婴儿树儿童健康食品整站模板html5网页静态模板Bootstrap扁平化网站源码css3手机seo自适响 ...

  8. 赛门铁克杀毒软件存漏洞 遭美国联邦机构警告

    7月6日消息,据路透社报道,美国联邦机构针对赛门铁克公司的杀毒软件发布了一则安全漏洞警告,攻击者可能会利用该漏洞远程控制计算机. 美国国土安全部计算机紧急响应小组本周二发布的安全警告称,这是一起非常严 ...

  9. 慈善机构的“委屈”,区块链能否吹散信任阴霾?

    来源 | 复杂美研发团队 责编 | Carol 出品 | 区块链大本营(ID:blockchain_camp) 抗疫工作进入到焦灼的攻坚期,但因为物资调配等问题处理不到,部分慈善机构被推至风口浪尖. ...

  10. BOSS直聘上线春雷行动 首周吸引上万名应届生参与活动

    近日,BOSS直聘联合北京.上海.广州.深圳.杭州.成都五地近百家优质企业,推出专门针对应届生的线上招聘专场-春雷行动.据悉,此次活动不仅为应届生带来逾万个精选岗位,雇主还可以在BOSS直聘App上进 ...

最新文章

  1. 黑马程序员___Java基础[02-Java基础语法](一)
  2. 防抖 节流_每日一题手写函数防抖与节流
  3. 外国人看我国量子计算机祖冲之号,1.2小时完成超算8年!我国“祖冲之号”量子计算机刷新记录...
  4. 【练习】c++用链栈实现计算器
  5. 手游行业洞察:Project Makeover成爆款,中国手游出海如何破局
  6. hbase/thrift/go连接失败
  7. 我的世界java服务器刷_一个教程, 叫你如何在服务器刷op
  8. jquery-手风琴效果
  9. Hystrix-超时机制和断路器模式
  10. springBoot的一些注解以及静态资源的处理
  11. 江苏省计算机学业水平测试时间,江苏2018年高中学业水平考试时间公布
  12. 设备驱动简介 -- ldd3读书笔记
  13. Q112:用Xcode调试程序(以PBRT-V3中的pbrt为例)
  14. C++ 链表入门习题
  15. 2020年最新Java后端学习路线,适用于所有Java初学者!
  16. C语言入门题库——求数列2/1+3/2+5/3......的和
  17. 我国有关信息方面的法律法规
  18. 【转自Oracle官方博客】一个ASMCA无法识别磁盘设备的问题
  19. Google打印没有彩色,浏览器打印预览没有背景颜色和没有颜色
  20. c++ 按值传递(Byval) 和 按地址传递(ByRef)

热门文章

  1. 【优化调度】基于matlab粒子群算法求解梯级水电站调度优化问题【含Matlab源码 065期】
  2. «构建并破坏它»:某些算法如何生成验证码,而另一些则如何破解
  3. 学习自动驾驶技术 学习之路_一天学习驾驶
  4. C++中指针运算符(*)和数组索引符([])的优先级。指针数组及数组指针
  5. data标签怎么爬虫_scrapy爬虫笔记(1):scrapy基本使用
  6. android 按钮复用,Android Button 自带阴影效果另一种解决办法
  7. linux librtmp 编译,在linux系统下安装python librtmp包的实现方法
  8. 又一轮子?Typescript+React+Redux,放弃saga,支持服务器渲染同构
  9. 我的 Java 血泪史
  10. 强人工智能:抑制神经元的意义