未受保护的约会服务数据库泄漏个人数据
在线服务器上的另一个公开数据库遭到黑客攻击,并泄露了其用户的个人数据。有问题的数据库属于一个约会网站,该数据库在Elastisearch服务器上运行,并且不受密码保护。安全研究人员使用vpnMentor在2020年8月下旬发现了数据库已暴露的发现。
安全研究人员联系数据库所有者后,很快就将其删除了,但这并不意味着该数据库肯定不会泄漏。 故障数据库中总共存储了超过880 GB的推送通知日志文件。发现日志文件包含过去四天生成的6600万条通知的详细信息,以及数十万用户的个人信息。
操作该数据库的约会服务聚合器存储了来自70多个不同约会站点的通知。看来,很多通知都是垃圾邮件,其中的消息为男性提供了从亚洲或东欧等世界各地寻找合作伙伴的机会。系统设置的方式是,新的通知提醒用户,一个假设的女性已经发送了一条消息,以诱使人们重新使用该服务。
公开个人身份用户信息
尽管所有这些操作都是在用户同意下完成的,但问题是其中涉及许多个人信息。该数据库不仅是存储通知本身,还包含一个标记为“调试”数据的块,其中包含用户的个人详细信息。日志中的个人身份信息包括姓名,电子邮件,性别以及地理位置和IP地址数据。
更糟的是,通知中的字符串还包含指向用户配置文件的链接和身份验证密钥,这可能使不良行为者无限制地访问配置文件,甚至不需要用户密码。任何可能拥有不受保护的数据库的人都可以访问大量的用户信息,包括配置文件和跨服务发送的过去消息。
个人信息泄漏,特别是与约会网站和服务有关的泄漏,可能给涉案人员造成很多麻烦,包括勒索和勒索。