MongoDB資料庫因安全漏洞，導致Family Locator洩露二十多萬名使用者資料

摘要：本月第二次，未受保護的MongoDB資料庫因大量安全漏洞而導致敏感資訊洩露，受歡迎的家庭跟蹤應用程式Family Locator已經暴露了超過238,000名使用者的實時未加密位置資料。

該應用程式非常類似於Apple的“查詢我的朋友”應用程式的功能，允許使用者跟蹤家庭成員並設定地理圍欄功能，例如，當家庭成員離開工作或到達學校時通知使用者。

根據TechCrunch的說法，由於沒有受到保護的MongoDB資料庫允許任何知道伺服器確切細節的人訪問這些資訊，因此這個資料不是本月第一次曝光。

不安全的MongoDB資料庫暴露了200GB的Veeam客戶資料

暴露的資料庫是由安全研究員和GDI基金會成員Sanyam Jain發現的，GDI基金會是一個非營利組織，負責檢測和分析犯罪機會並公開分享。

資料庫中找不到的資料都沒有加密：名稱，電子郵件地址，個人資料照片和明文密碼都可以輕鬆訪問，並且地理位置的位置與指定的名稱一起可見。不僅要知道使用者的位置，還要了解他們的居住地點，工作地點以及他們的孩子在哪裡接受教育，這將毫不費力。

Synopsys的高階安全工程師Boris Cipot說：“不幸的是，這是另一個非專業技術處理導致資料洩露的案例。”

“這種嚴重的不當行為不應該發生，但正如我們經常看到的那樣，他們會這樣做，而且如果安全程式沒有得到正確執行或被忽視，通常就會發生這種情況，”他說。“安全不應該掉以輕心，尤其是在處理某人委託給你的資料時。”

Family Locator React Apps的開發人員對媒體的方法沒有反應。TechCrunch的試圖聯絡該公司超過一週，但其網站沒有聯絡資訊，澳大利亞證券和投資委員會的記錄僅返回該公司所有者的名稱。

該資料庫後來由於其在Azure雲上託管而被拉下線，但不知道資料庫暴露多長時間。

Arxan Technologies的高階技術總監EMEA表示，“讓家人保持安全並允許家長監控孩子下落的應用實際上是讓任何人都無法保護和訪問資料，這一點很可怕。”

“我們每天都強調應用程式安全的重要性，但不幸的是，除非應用程式所連線的所有內容都是安全的，否則仍然會給消費者帶來危險。在開發應用程式時，構建過程和安全性至關重要過程應該結合在一起 - 安全性和資料保護都不應該是事後的想法，甚至更糟，完全被忽視。“

本月早些時候MongoDB因另一次資料洩露而出現問題;研究員Bob Diachenko發現了一個包含8.09億封電子郵件記錄的無保護資料庫，其中許多包含個人身份資訊。

當安全公司DynaRisk確認洩露記錄的數量實際上比最初想象的高三倍時，事情變得更糟，實際數字超過20億。

大多數記錄包含每個條目的姓氏，電子郵件地址，性別資訊，郵政編碼和IP地址。這些記錄與流行的HaveIBeenPwned網站進行了交叉核對，該網站顯示以前未發現資料洩露的資料，這意味著這一發現是新的，受影響的人之前並未成為資料洩露的物件。

出處：