錯誤配置的MongoDB數(shù)據(jù)庫導致一起數(shù)據(jù)泄露事件。這一次是FarFaria,一家位于加利福尼亞州舊金山的公司,通過Android和iOS應用程序為兒童提供故事書服務。
Comparitech 安全研究負責人Bob Diachenko發(fā)現(xiàn)一個配置錯誤的MongoDB數(shù)據(jù)庫,其中包含一個未經(jīng)任何密碼或安全身份驗證就向公眾公開的數(shù)據(jù)。
該事件發(fā)生在2021年8月9日,但直到9月27日才分享了其詳細信息。據(jù)研究人員稱,這個屬于FarFaria的數(shù)據(jù)庫被BinaryEdge搜索引擎索引,其中包含38 GB的數(shù)據(jù)以及 290萬用戶的聯(lián)系信息和登錄憑據(jù)。
其中詳細信息包括:
IP地址
電子郵件地址
加密密碼
身份驗證令牌
登錄次數(shù)和時間
使用其社交媒體帳戶登錄的人的社交媒體令牌。
在一篇博客文章中Diachenko警告稱,公開的詳細信息包括許多身份驗證令牌,對于那些想要對用戶進行復雜的網(wǎng)絡釣魚攻擊的犯罪分子來說,這可能特別有用。
目前尚不清楚該數(shù)據(jù)庫是否被第三方惡意訪問。另一方面,Diachenko向FarFaria報告了這一事件,該公司沒有做出回應,但在第二天保護了數(shù)據(jù)庫。
值得注意的是,根據(jù)FarFaria的說法,其應用程序是“為 2-9 歲的兒童創(chuàng)建的”,這意味著錯誤的配置將兒童暴露在網(wǎng)絡犯罪和網(wǎng)絡騙子面前。
Diachenko 分享的屏幕截圖稱 FarFaria 的數(shù)據(jù)庫已向公眾公開。
對于FarFaria用戶,應該提高警惕,注意可疑電子郵件。因為網(wǎng)絡犯罪分子可以利用該事件對毫無戒心的用戶(尤其是兒童)發(fā)起網(wǎng)絡釣魚或惡意垃圾郵件攻擊。
網(wǎng)絡安全和數(shù)據(jù)安全是保障國家安全的重要組成部分。數(shù)據(jù)安全關系并影響著網(wǎng)絡安全和國家安全、公民個人隱私權益和社會安全穩(wěn)定等。
盡管針對此次數(shù)據(jù)泄露問題是否造成其他影響尚未得知,但數(shù)據(jù)泄露對企業(yè)造成的影響十分嚴重。有研究機構統(tǒng)計,2020年數(shù)據(jù)泄露總條數(shù)約為360億條,數(shù)據(jù)泄露事件給企業(yè)造成的平均損失達386萬美元。
頻繁發(fā)生的數(shù)據(jù)泄露事件提醒我們,在軟件開發(fā)過程中,僅關注軟件功能性能是不夠的,更要將安全問題置于首位。尤其隨著敏捷開發(fā)成為趨勢,在軟件開發(fā)期間使用安全可信的靜態(tài)代碼檢測工具不斷進行檢測,不但可以第一時間發(fā)現(xiàn)編碼規(guī)范、安全缺陷等問題,而且還有助于開發(fā)人員在保證開發(fā)效率的同時,提高軟件安全性,為后期加強網(wǎng)絡安全建設打好基礎。
關鍵詞標簽:數(shù)據(jù)泄露 網(wǎng)絡釣魚 軟件安全 靜態(tài)代碼檢測 網(wǎng)絡攻擊
參讀鏈接:
文章版權歸作者所有,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/121860.html