Security Discovery 安全研究人員 Bob Diachenko,剛剛披露了一個可被公開訪問的 MongoDB 資料庫,其中包含了超過 8.08 億個電子郵件地址、以及其它純文字記錄。資料庫大小為 150GB,剩餘的是涉及個人資訊的資料快取。該漏洞與 Verifications.io 的電子郵件驗證服務相關,但於 2 月 25 日被曝光到網際網路上,且允許被公眾訪問。
Bob Diachenko 在一篇帖子中寫到:“經過核實,我對網上曝光的這批資料體量感到震驚”。
洩露資訊包含了 7.98 億的電子郵件記錄、超過 400 萬備註了電話號碼的 E-mail 地址、以及超過 600 萬條被識別為‘商業線索’的資訊。
這總計超過 8.08 億條的記錄,最終可追溯到一個名為 Verifications.io 的網站上。
這些記錄中的資訊,包括了電子郵件、使用者 IP 地址、出生日期、郵政編碼、地址、性別、電話號碼等內容。安全專家稱之為‘一組完全獨特的資料’。
在向 Verifications.io 傳達了安全報告之後,現網站已處於離線狀態。
由螢幕截圖可知,該公司主要面向企業提供“電子郵件驗證”服務 —— 顯然涉及讓客戶上傳電子郵件地址串列以進行驗證的操作。
該公司一名員工在郵件中回應稱,其已對資料庫做好了保護:
經過仔細檢查,我們發現用於附加資訊的資料庫似乎出現了短暫的暴露。這基於我們所使用的公共資訊,而非客戶構建的企業資料庫。
然而 Bob Diachenko 對這一說法表示懷疑,其在帖子中寫到:
既然資料是公開的,那為何關閉了資料庫、又讓網站處於離線狀態呢?除了電子郵件的配置檔案外,資料庫中還包含了某些串列使用者的詳細資訊(130 條記錄)。
比如訪問 FTP 伺服器用的上傳 / 下載郵件串列的名稱和登陸憑證(與 MongoDB 託管在同一個 IP 上)。我們只能推測,這些其實並非公共資料。
*來源:cnBeta.COM
更多資訊
◈ 賽門鐵克:網路罪犯透過表單劫持牟取數百萬美金暴利
月7日,全球網路安全領域領導廠商賽門鐵克公司(納斯達克:SYMC)釋出第24期《網際網路安全威脅報告》(ISTR)。報告顯示,隨著勒索軟體和密碼竊取帶來的收益不斷減少,網路犯罪分子正在伺機尋找其他的方法來牟取利益,如網頁表單內容劫持(Formjacking,以下簡稱”表單劫持”)。
來源:C114中國通訊網
詳情:http://t.cn/EMPqTmU
◈ 調查:每秒有2024名美國人收到自動語音電話
自動語音電話(RoboCall)在美國儼然成為了一個嚴重失控的問題。Robocall指的是由計算機系統自動撥號,播放事先錄製的電話留言的宣傳電話。Robocall是產品促銷和政治競選的常用手段,因此在網際網路上也被稱為選舉誤導電話。今年2月美國境內收到的此類電話總數將近50億次,略低於今年1月52億次的歷史最高水平。
來源:cnBeta.COM詳情:http://t.cn/EMPq3UZ
◈ Mozilla Firefox 67 將引入“反指紋跟蹤”技術
Mozilla 計劃在今年 5 月中旬推出的 Firefox 67 中新增新的使用者反指紋技術。所謂的指紋技術,指的是基於 Html 5 的 Canvas 指紋跟蹤技術。所謂的指紋是指每一種瀏覽器都會使用不同的影象處理引擎、匯出選項與壓縮等級,所以每一個瀏覽器繪製出的圖案都會有所不同,這些圖案可以像指紋一樣作為網頁瀏覽者的唯一標識。
來源:開源中國
詳情:http://t.cn/EMPqDpC
◈ 駭客侵入美國三所高校入學申請資料庫並索要贖金
近日,駭客入侵了美國三所高校的申請人資訊系統,並要求準大學生們支付數千美元贖金,換取駭客聲稱已竊取的個人資訊。這三所高校分別是俄亥俄州的歐柏林學院(Oberlin College)、艾奧瓦州的格林內爾學院(Grinnell College)和紐約州的漢密爾頓學院(Hamilton College)。格林內爾學院和漢密爾頓學院均使用Technolutions Inc.旗下的Slate系統跟蹤申請入學學生的資訊。
來源:每日經濟
詳情:http://t.cn/EMP5zjm
(資訊來源於網路,安華金和蒐集整理)