知識星球來自:開源中國(微訊號:oschina2013)
近日,Security Discovery 安全研究人員 Bob Diachenko 發現了一個 150GB 大小、缺乏密碼保護的 MongoDB 資料庫。這個資料庫於2月25日曝光在網上,洩露的電子郵件地址數量超過了 8 億,且允許被公眾訪問。
Emailrecords (count: 798,171,891 records)
emailWithPhone (count: 4,150,600 records)
businessLeads (count: 6,217,358 records)
可以看到,洩露資訊包含了 7.98 億的電子郵件記錄、超過 400 萬備註了電話號碼的 Email 地址、以及超過 600 萬條被識別為“商業線索(businessLeads)”的資訊。
△被洩露的資料庫 Emailrecords 包括 IP 地址、使用者名稱、性別、電話和住址等欄位
Diachenko 將資料庫與專門收集已暴露資料庫的 HaveIBeenPwned 資料庫進行對比,結果顯示這是一個全新的資料庫。在這之後,Diachenko 對這個資料庫的所有者進行了確認,結果指向的是“Verifications.io”。
據瞭解,這是一家提供企業級郵件驗證服務的公司,而這類服務通常用於確認使用者電子郵件地址的真實性和有效性。
對這家公司的服務和被洩露資料庫進行研究後,Diachenko 猜測這個資料庫可能是使用者上傳到 Verifications.io,準備進行電子郵件地址驗證的郵件資料庫。
不過 Verifications.io 否認了這一說法。據該公司回覆的郵件介紹,Diachenko 發現的這個資料庫本身就是公開的,而非客戶資料。不過在 Diachenko 向該公司報告問題後,資料庫目前已不可訪問。
Diachenko 對這個說法持懷疑態度,他表示,如果資料庫是公開的話,那為什麼在他反饋問題的同一天,該公司就把該資料庫下線呢?
