MunGDB服务器泄露电子营销服务的1100万个用户记录

周一，一位专门寻找暴露数据库的安全研究人员发现了一个不安全的MongoDB服务器，它泄露了近1100万用户的个人信息。该服务器似乎属于加利福尼亚的一家电子邮件营销公司。

这些数据包含在43.5GB的数据集中，包括10999535用户的全名、电子邮件地址、性别信息和物理地址，如州、城市和邮政编码。

该数据库中包含的所有电子邮件地址都是基于Yahoo的，这表明这只是大型数据集的一小部分，很可能存储在多个服务器上。

除了个人用户信息之外，数据还包含DNS详细信息和关于用户已经接收的消息的电子邮件传递状态信息。

鲍勃·迪亚琴科（Bob Diachenko）是安全研究人员，他发现了这个漏洞，并与ZDNet分享了他的发现。他说，该数据库至少从9月13日，也就是Shodan搜索引擎上次对它进行索引的日期起就暴露在网上了，并将其标记为“受损”的服务器。

数据库接收到这个标记是因为除了它的正常内容之外，它还包含一个名为“Warning”的表，该表包含具有以下文本的数据集合：

“您的数据库被下载并备份在我们的安全服务器上。要恢复丢失的数据：发送0.4BTC到我们的比特币地址，并通过电子邮件与我们联系，您的服务器IP地址和付款证明。任何电子邮件没有您的服务器IP地址和付款证明一起将被忽略。您可以在12小时内申请备份摘要。然后我们将删除备份。不客气！”

Bob Diachenko

这是你自2016年底以来在裸露的MangGDB数据库上出现的典型赎金记录。

这次袭击的背后组织要求通过“3GKioTFrCFYcTmZR4DXPGatTXXp6Ugcq79”比特币地址支付0.4比特币（2400美元）的赎金。该地址目前持有1.6比特币共计四笔款项。

Google搜索显示，这个特殊的信息，比特币和电子邮件地址，已经出现在6月下旬中国其他MongoDB服务器所有者报告的其他案例中[1,2]。

由于MongoDB赎金者倾向于以不同时间间隔轮换电子邮件地址和消息，因此在暴露的服务器上出现此注释表明数据库也在6月下旬暴露出来，当时该特定的数据库赎金活动正在全面进行。

此外，两家中国服务器所有者报告说，攻击者擦拭他们的数据库，企图强迫支付“备份”操作，显然没有发生。

这个细节还表明，这个特定的电子邮件营销数据库也在6月份被清除，恢复，并继续运行，没有适当的安全控制，即使在这样一个破坏性的安全事件。

虽然最初不清楚谁是这个数据库的所有者，但是几个记录中的一个小后缀——例如“Content-SaverSpy-0909092018”——暗示这个数据可能属于一个名为SaverSpy的公司。

结合简单的Google搜索和在暴露的数据库中发现的用户记录的性质，这位记者和Diachenko都相信这些数据属于SaverSpy.com，这是一个在Coupons.com品牌家族下运营的日常交易网站。

ZDNET和Diachenko都警告SaveSwitter网站的运营商关于被曝光的服务器。虽然我们还没有收到公司的消息，但今天早些时候服务器安全了。

本月早些时候，Diachenko还发现了一个属于Veeam（一家数据管理公司）的服务器，它公开了4.45亿条记录。