MongoDB數據庫因安全漏洞，導致Family Locator泄露二十多萬名用戶數據

摘要：本月第二次，未受保護的MongoDB數據庫因大量安全漏洞而導致敏感信息泄露，受歡迎的家庭跟蹤應用程序Family Locator已經暴露了超過238,000名用戶的實時未加密位置數據。

該應用程序非常類似于Apple的“查找我的朋友”應用程序的功能，允許用戶跟蹤家庭成員并設置地理圍欄功能，例如，當家庭成員離開工作或到達學校時通知用戶。

根據TechCrunch的說法，由于沒有受到保護的MongoDB數據庫允許任何知道服務器確切細節的人訪問這些信息，因此這個數據不是本月第一次曝光。

不安全的MongoDB數據庫暴露了200GB的Veeam客戶數據

暴露的數據庫是由安全研究員和GDI基金會成員Sanyam Jain發現的，GDI基金會是一個非營利組織，負責檢測和分析犯罪機會并公開分享。

數據庫中找不到的數據都沒有加密：名稱，電子郵件地址，個人資料照片和明文密碼都可以輕松訪問，并且地理位置的位置與指定的名稱一起可見。不僅要知道用戶的位置，還要了解他們的居住地點，工作地點以及他們的孩子在哪里接受教育，這將毫不費力。

Synopsys的高級安全工程師Boris Cipot說：“不幸的是，這是另一個非專業技術處理導致數據泄露的案例?！?/span>

“這種嚴重的不當行為不應該發生，但正如我們經?？吹降哪菢?，他們會這樣做，而且如果安全程序沒有得到正確執行或被忽視，通常就會發生這種情況，”他說?！鞍踩粦摰粢暂p心，尤其是在處理某人委托給你的數據時?！?/span>

Family Locator React Apps的開發人員對媒體的方法沒有反應。TechCrunch的試圖聯系該公司超過一周，但其網站沒有聯系信息，澳大利亞證券和投資委員會的記錄僅返回該公司所有者的名稱。

該數據庫后來由于其在Azure云上托管而被拉下線，但不知道數據庫暴露多長時間。

Arxan Technologies的高級技術總監EMEA表示，“讓家人保持安全并允許家長監控孩子下落的應用實際上是讓任何人都無法保護和訪問數據，這一點很可怕?！?/span>

“我們每天都強調應用程序安全的重要性，但不幸的是，除非應用程序所連接的所有內容都是安全的，否則仍然會給消費者帶來危險。在開發應用程序時，構建過程和安全性至關重要過程應該結合在一起 - 安全性和數據保護都不應該是事后的想法，甚至更糟，完全被忽視?！?

本月早些時候MongoDB因另一次數據泄露而出現問題;研究員Bob Diachenko發現了一個包含8.09億封電子郵件記錄的無保護數據庫，其中許多包含個人身份信息。

當安全公司DynaRisk確認泄露記錄的數量實際上比最初想象的高三倍時，事情變得更糟，實際數字超過20億。

大多數記錄包含每個條目的姓氏，電子郵件地址，性別信息，郵政編碼和IP地址。這些記錄與流行的HaveIBeenPwned網站進行了交叉核對，該網站顯示以前未發現數據泄露的數據，這意味著這一發現是新的，受影響的人之前并未成為數據泄露的對象。

出處：https://www.modb.pro/db/6319