MongoDB 数据库无凭证保护 近10万 app用户的个人详情遭暴露

翻译：360代码卫士团队

用于连接保姆和父母的流行应用 Sitter 的创建者不慎暴露超过9.3万用户的个人详情。

暴露事件发生在上周，是由 MongoDB 数据库未设置凭证而暴露在互联网上导致的。

独立安全研究员 Bob Diachenko 发现了这个被暴露的数据库。他指出在8月14日发现了这个数据库并立即将问题告知 Sitter app 的作者。后者在收到报告的同一天加固了数据库的安全。

8月13日，这个数据库曾被 Shodan 所检索。

从研究人员分享的被曝服务器的两个截屏来看，这个数据库中包含了多种数据，包括一些敏感的用户信息。其中包括约9.3万个 Sitter 账户的加密密码、每个家庭的孩子数量、用户家庭地址、电话号码、用户的地址簿联系人和用户交易的部分支付卡卡号。

其它信息包括 app 内的历史聊天记录、保姆照看会话详情如之前的位置信息和次数。MongoDB 服务器遭泄露导致超过2GB 数据被暴露在网上。

Sitter 公司的发言人并未置评。

Diachenko 表示，Sitter 团队表示已经注意到数据遭泄露的受影响用户。他指出，目前尚不清楚是否还存在和该数据库的其它连接以及在 Shodan 检索之前它被暴露了多长的时间。

原文链接

https://www.bleepingcomputer.com/news/security/mongodb-server-exposes-babysitting-apps-database/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。