摘要:本月第二次,未受保护的MongoDB数据库因大量安全漏洞而导致敏感信息泄露,受欢迎的家庭跟踪应用程序Family Locator已经暴露了超过238,000名用户的实时未加密位置数据。

该应用程序非常类似于Apple的“查找我的朋友”应用程序的功能,允许用户跟踪家庭成员并设置地理围栏功能,例如,当家庭成员离开工作或到达学校时通知用户。

根据TechCrunch的说法,由于没有受到保护的MongoDB数据库允许任何知道服务器确切细节的人访问这些信息,因此这个数据不是本月第一次曝光。

不安全的MongoDB数据库暴露了200GB的Veeam客户数据

暴露的数据库是由安全研究员和GDI基金会成员Sanyam Jain发现的,GDI基金会是一个非营利组织,负责检测和分析犯罪机会并公开分享。

数据库中找不到的数据都没有加密:名称,电子邮件地址,个人资料照片和明文密码都可以轻松访问,并且地理位置的位置与指定的名称一起可见。不仅要知道用户的位置,还要了解他们的居住地点,工作地点以及他们的孩子在哪里接受教育,这将毫不费力。

Synopsys的高级安全工程师Boris Cipot说:“不幸的是,这是另一个非专业技术处理导致数据泄露的案例。”

“这种严重的不当行为不应该发生,但正如我们经常看到的那样,他们会这样做,而且如果安全程序没有得到正确执行或被忽视,通常就会发生这种情况,”他说。“安全不应该掉以轻心,尤其是在处理某人委托给你的数据时。”

Family Locator React Apps的开发人员对媒体的方法没有反应。TechCrunch的试图联系该公司超过一周,但其网站没有联系信息,澳大利亚证券和投资委员会的记录仅返回该公司所有者的名称。

该数据库后来由于其在Azure云上托管而被拉下线,但不知道数据库暴露多长时间。

Arxan Technologies的高级技术总监EMEA表示,“让家人保持安全并允许家长监控孩子下落的应用实际上是让任何人都无法保护和访问数据,这一点很可怕。”

“我们每天都强调应用程序安全的重要性,但不幸的是,除非应用程序所连接的所有内容都是安全的,否则仍然会给消费者带来危险。在开发应用程序时,构建过程和安全性至关重要过程应该结合在一起 - 安全性和数据保护都不应该是事后的想法,甚至更糟,完全被忽视。“

本月早些时候MongoDB因另一次数据泄露而出现问题;研究员Bob Diachenko发现了一个包含8.09亿封电子邮件记录的无保护数据库,其中许多包含个人身份信息。

当安全公司DynaRisk确认泄露记录的数量实际上比最初想象的高三倍时,事情变得更糟,实际数字超过20亿。

大多数记录包含每个条目的姓氏,电子邮件地址,性别信息,邮政编码和IP地址。这些记录与流行的HaveIBeenPwned网站进行了交叉核对,该网站显示以前未发现数据泄露的数据,这意味着这一发现是新的,受影响的人之前并未成为数据泄露的对象。

出处:https://www.modb.pro/db/6319

DBASK,DBA的即时问答平台,及时接收资讯

云和恩墨大讲堂 | 一个分享交流的地方

长按,识别二维码,加入万人交流社群

请备注:云和恩墨大讲堂

MongoDB数据库因安全漏洞,导致Family Locator泄露二十多万名用户数据相关推荐

  1. 网安入门须知:注释的危害居然这么大?——注释漏洞导致的信息泄露

    隔壁大娘收到了一条匿名短信,里面记录了大娘跟隔壁老王的开房记录,并勒索二百五十块巨款.大娘略加思索后,便提着刀冲到狗剩家门口,一刀砍在门口的卷帘门上 隔壁大娘:狗剩,你给我出来!!! 注释导致的信息泄 ...

  2. mysql piress_由MySql漏洞导致电脑被入侵(特征为新增加名为piress的帐户)所想到的...

    题记 今天开机,突然发现新增了一个名为piress的账户,突然间就意识到我的电脑可能被入侵了.后来发现网上很多人都遇到这样的问题.经过一步步的查 证,原来最近mysql爆出一个安全漏洞,远程登录mys ...

  3. 由MySql漏洞导致电脑被入侵(特征为新增加名为piress的帐户)

    今天开机,突然发现新增了一个名为piress的账户,突然间就意识到我的电脑可能被入侵了.后来发现网上很多人都遇到这样的问题.经过一步步的查证,原来最近MySQL爆出一个安全漏洞,远程登录mysql,尝 ...

  4. 二十四、通过用户模型,对数据库进行增删改查操作

    增加:user = db.session.add(user)db.session.commit() 查询:User.query.filter(User.username == 'mis1114').f ...

  5. 免费数据库及常用统计网址-数学建模(二十)

    1.国外统计学网址 http://www.bloomberg.com/ 美国金融情报 http://www.bridge.com/ 美国金融brigle http://www.math.yorku.c ...

  6. 百度新闻源“漏洞”爆粉!日流水十几万的微商都在偷偷用

    2016年马上就会过去了!想想你在2015年喝咖啡熬夜做2016年的计划吗,还记得你在2016上半年对身边朋友或者是同事面前吹过的牛逼没有,立下的誓言,胯下的海口不!转眼间又到年底了,很多人到处都是圈 ...

  7. 【极客日报】约会网站228万用户数据遭泄露;Uber 大量高管离职;周鸿祎称360曾发现特斯拉有漏洞...

    一.互联网快讯 1.用户称 PC 微信扫描浏览器 Cookies,腾讯:目前无法重现问题 近期有网友发帖称,发现腾讯微信 PC 版客户端扫描用户浏览器 cookies.用户表示,自己使用火绒安全添加 ...

  8. Linux安装mongodb数据库最新版(全网最细)

    Linux安装mongodb数据库最新版 一.下载安装包 二.安装mongodb 1.使用Xftp将压缩包上传到指定目录下: 2.创建mongodb数据存储文件和日志文件 3.将mongodb服务加入 ...

  9. 墨者学院刷题笔记——SQL手工注入漏洞测试(MongoDB数据库)

    今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL手工注入漏洞测试(MongoDB数据库). 一.题目简介 我们这里采用墨者学院的MongoDB数据库渗透测试题目,其地址为:https:/ ...

最新文章

  1. Web前端开发必备:《Jquery实战》第3版 介绍
  2. Asp.net控件开发学习笔记(六)----数据回传
  3. (HDU)1491-- Octorber 21st (校庆)
  4. Java8 Striped64 和 LongAdder
  5. macos安装vscode_VS Code 代码编辑器入门指南:核心组件与概念
  6. 基于JAVA+SpringMVC+Mybatis+MYSQL的驾照在线考试系统
  7. 自学c语言后的感受,一路走来,浅谈c语言的学习感想
  8. FRR BGP协议分析12 -- ZEBRA路由的处理1
  9. IG541----数据中心首选气体灭火系统
  10. 使用Python自动提取内容摘要
  11. Asp.Net MVC4.0 官方教程 入门指南之八--为Movie模型和库表添加字段
  12. 开源是不是程序员悲剧的根源?
  13. 常见的Linux命令缩写
  14. 2.Python数据基本运算
  15. 【win10 VS2019 opencv4.6 配置参考】
  16. mysql 笛卡尔积_Mysql(笛卡尔积、等值连接、自然连接、外连接)
  17. 高斯,数据科学家最爱的男人(我们不是GAY!)
  18. 小程序文件批量下载保存
  19. Django中间件——实现登陆验证
  20. python 入门 guess 函数

热门文章

  1. joomla tab 扩展_如何使用扩展功能扩展Joomla网站的功能
  2. Toonz开源,Apple开源CareKit,以及更多新闻
  3. (37)Gulp 文件清除
  4. (15)HTML面试题集锦
  5. Bootstrap 工具提示插件
  6. linux java services_在Linux上将Java应用程序作为服务运行
  7. 服务器测试文档,服务器测试流程-20210321064941.docx-原创力文档
  8. win10 mysql 驱动无法使用吗_Windows10驱动无法使用是怎么回事
  9. 2019职称计算机考试哪些地区取消,2019年职称计算机考试注意事项
  10. python2 csv 中文_Python 2.6中对csv文件的常规Unicode / UTF-8支持