錯(cuò)誤配置的MongoDB數(shù)據(jù)庫(kù)導(dǎo)致一起數(shù)據(jù)泄露事件。這一次是FarFaria,一家位于加利福尼亞州舊金山的公司,通過(guò)Android和iOS應(yīng)用程序?yàn)閮和峁┕适聲?shū)服務(wù)。
Comparitech 安全研究負(fù)責(zé)人Bob Diachenko發(fā)現(xiàn)一個(gè)配置錯(cuò)誤的MongoDB數(shù)據(jù)庫(kù),其中包含一個(gè)未經(jīng)任何密碼或安全身份驗(yàn)證就向公眾公開(kāi)的數(shù)據(jù)。
該事件發(fā)生在2021年8月9日,但直到9月27日才分享了其詳細(xì)信息。據(jù)研究人員稱(chēng),這個(gè)屬于FarFaria的數(shù)據(jù)庫(kù)被BinaryEdge搜索引擎索引,其中包含38 GB的數(shù)據(jù)以及 290萬(wàn)用戶(hù)的聯(lián)系信息和登錄憑據(jù)。
其中詳細(xì)信息包括:
IP地址
電子郵件地址
加密密碼
身份驗(yàn)證令牌
登錄次數(shù)和時(shí)間
使用其社交媒體帳戶(hù)登錄的人的社交媒體令牌。
在一篇博客文章中Diachenko警告稱(chēng),公開(kāi)的詳細(xì)信息包括許多身份驗(yàn)證令牌,對(duì)于那些想要對(duì)用戶(hù)進(jìn)行復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊的犯罪分子來(lái)說(shuō),這可能特別有用。
目前尚不清楚該數(shù)據(jù)庫(kù)是否被第三方惡意訪(fǎng)問(wèn)。另一方面,Diachenko向FarFaria報(bào)告了這一事件,該公司沒(méi)有做出回應(yīng),但在第二天保護(hù)了數(shù)據(jù)庫(kù)。
值得注意的是,根據(jù)FarFaria的說(shuō)法,其應(yīng)用程序是“為 2-9 歲的兒童創(chuàng)建的”,這意味著錯(cuò)誤的配置將兒童暴露在網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)騙子面前。
Diachenko 分享的屏幕截圖稱(chēng) FarFaria 的數(shù)據(jù)庫(kù)已向公眾公開(kāi)。
對(duì)于FarFaria用戶(hù),應(yīng)該提高警惕,注意可疑電子郵件。因?yàn)榫W(wǎng)絡(luò)犯罪分子可以利用該事件對(duì)毫無(wú)戒心的用戶(hù)(尤其是兒童)發(fā)起網(wǎng)絡(luò)釣魚(yú)或惡意垃圾郵件攻擊。
網(wǎng)絡(luò)安全和數(shù)據(jù)安全是保障國(guó)家安全的重要組成部分。數(shù)據(jù)安全關(guān)系并影響著網(wǎng)絡(luò)安全和國(guó)家安全、公民個(gè)人隱私權(quán)益和社會(huì)安全穩(wěn)定等。
盡管針對(duì)此次數(shù)據(jù)泄露問(wèn)題是否造成其他影響尚未得知,但數(shù)據(jù)泄露對(duì)企業(yè)造成的影響十分嚴(yán)重。有研究機(jī)構(gòu)統(tǒng)計(jì),2020年數(shù)據(jù)泄露總條數(shù)約為360億條,數(shù)據(jù)泄露事件給企業(yè)造成的平均損失達(dá)386萬(wàn)美元。
頻繁發(fā)生的數(shù)據(jù)泄露事件提醒我們,在軟件開(kāi)發(fā)過(guò)程中,僅關(guān)注軟件功能性能是不夠的,更要將安全問(wèn)題置于首位。尤其隨著敏捷開(kāi)發(fā)成為趨勢(shì),在軟件開(kāi)發(fā)期間使用安全可信的靜態(tài)代碼檢測(cè)工具不斷進(jìn)行檢測(cè),不但可以第一時(shí)間發(fā)現(xiàn)編碼規(guī)范、安全缺陷等問(wèn)題,而且還有助于開(kāi)發(fā)人員在保證開(kāi)發(fā)效率的同時(shí),提高軟件安全性,為后期加強(qiáng)網(wǎng)絡(luò)安全建設(shè)打好基礎(chǔ)。
關(guān)鍵詞標(biāo)簽:數(shù)據(jù)泄露 網(wǎng)絡(luò)釣魚(yú) 軟件安全 靜態(tài)代碼檢測(cè) 網(wǎng)絡(luò)攻擊
參讀鏈接:
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/121860.html
