未受保護的約會服務數據庫洩漏個人數據

在線服務器上的另一個公開數據庫遭到黑客攻擊，並洩露了其用戶的個人數據。有問題的數據庫屬於一個約會網站，該數據庫在Elastisearch服務器上運行，並且不受密碼保護。安全研究人員使用vpnMentor在2020年8月下旬發現了數據庫已暴露的發現。

安全研究人員聯繫數據庫所有者後，很快就將其刪除了，但這並不意味著該數據庫肯定不會洩漏。 故障數據庫中總共存儲了超過880 GB的推送通知日誌文件。發現日誌文件包含過去四天生成的6600萬條通知的詳細信息，以及數十萬用戶的個人信息。

操作該數據庫的約會服務聚合器存儲了來自70多個不同約會站點的通知。看來，很多通知都是垃圾郵件，其中的消息為男性提供了從亞洲或東歐等世界各地尋找合作夥伴的機會。系統設置的方式是，新的通知提醒用戶，一個假設的女性已經發送了一條消息，以誘使人們重新使用該服務。

公開個人身份用戶信息

儘管所有這些操作都是在用戶同意下完成的，但問題是其中涉及許多個人信息。該數據庫不僅是存儲通知本身，還包含一個標記為“調試”數據的塊，其中包含用戶的個人詳細信息。日誌中的個人身份信息包括姓名，電子郵件，性別以及地理位置和IP地址數據。

更糟糕的是，通知中的字符串還包含指向用戶配置文件的鏈接和身份驗證密鑰，這可以使不良行為者無限制地訪問配置文件，甚至不需要用戶密碼。任何可能擁有不受保護的數據庫的人都可以訪問大量的用戶信息，包括配置文件和跨服務發送的過去消息。

個人信息洩漏，特別是與約會網站和服務有關的洩漏，可能給涉案人員造成很多麻煩，包括勒索和勒索。