错误配置的MongoDB数据库导致一起数据泄露事件。这一次是FarFaria,一家位于加利福尼亚州旧金山的公司,通过Android和iOS应用程序为儿童提供故事书服务。
Comparitech 安全研究负责人Bob Diachenko发现一个配置错误的MongoDB数据库,其中包含一个未经任何密码或安全身份验证就向公众公开的数据。
该事件发生在2021年8月9日,但直到9月27日才分享了其详细信息。据研究人员称,这个属于FarFaria的数据库被BinaryEdge搜索引擎索引,其中包含38 GB的数据以及 290万用户的联系信息和登录凭据。
其中详细信息包括:
IP地址
电子邮件地址
加密密码
身份验证令牌
登录次数和时间
使用其社交媒体帐户登录的人的社交媒体令牌。
在一篇博客文章中Diachenko警告称,公开的详细信息包括许多身份验证令牌,对于那些想要对用户进行复杂的网络钓鱼攻击的犯罪分子来说,这可能特别有用。
目前尚不清楚该数据库是否被第三方恶意访问。另一方面,Diachenko向FarFaria报告了这一事件,该公司没有做出回应,但在第二天保护了数据库。
值得注意的是,根据FarFaria的说法,其应用程序是“为 2-9 岁的儿童创建的”,这意味着错误的配置将儿童暴露在网络犯罪和网络骗子面前。
Diachenko 分享的屏幕截图称 FarFaria 的数据库已向公众公开。
对于FarFaria用户,应该提高警惕,注意可疑电子邮件。因为网络犯罪分子可以利用该事件对毫无戒心的用户(尤其是儿童)发起网络钓鱼或恶意垃圾邮件攻击。
网络安全和数据安全是保障国家安全的重要组成部分。数据安全关系并影响着网络安全和国家安全、公民个人隐私权益和社会安全稳定等。
尽管针对此次数据泄露问题是否造成其他影响尚未得知,但数据泄露对企业造成的影响十分严重。有研究机构统计,2020年数据泄露总条数约为360亿条,数据泄露事件给企业造成的平均损失达386万美元。
频繁发生的数据泄露事件提醒我们,在软件开发过程中,仅关注软件功能性能是不够的,更要将安全问题置于首位。尤其随着敏捷开发成为趋势,在软件开发期间使用安全可信的静态代码检测工具不断进行检测,不但可以第一时间发现编码规范、安全缺陷等问题,而且还有助于开发人员在保证开发效率的同时,提高软件安全性,为后期加强网络安全建设打好基础。
关键词标签:数据泄露 网络钓鱼 软件安全 静态代码检测 网络攻击
参读链接:
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/121860.html
