标签: 数据库配置不当

智能泰迪熊玩具泄露 200 多万条亲子聊天记录

互联网填充智能玩具 CloudPets (泰迪熊)暴露了 200 多万条儿童与父母的录音、以及超过 80 万个帐户的电子邮件地址和密码。 安全研究员 Troy Hunt 发现,这些用户数据存储在一个公开的 CloudPets 数据库中,没有被密码或者防火墙保护,攻击者无需身份验证即可访问。此外,有证据表明已经有攻击者访问了数据库,还删除了数据并索要赎金。Hunt 称至少联系了 CloudPets 泰迪熊智能玩具的制造商 Spiral Toys 四次告知数据库漏洞,但没有收到回复。 这已经不是第一次提到智能玩具泄露用户的隐私数据。此前,德国政府监管机构联邦网络局就发出警告,家长应尽快销毁一些为他们孩子设计的可连接互联网的智能玩具。起因就是因 My Friend Cayla 严重缺乏安全功能可被黑客控制,并泄露儿童隐私信息。 家长因谨慎使用智能玩具保护孩子的隐私。此外,玩具厂商因提高网络安全意识并加强安全保护措施切实维护好消费者的“利益”。监管机构也应制定相应的规范制度并督促改进。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

MongoDB 数据库泄露骤然增多,勒索事件持续升级

近日, MongoDB 数据库被黑并遭勒索的事件数量骤然增多。犯罪分子利用数据库配置漏洞进行未授权访问、拷贝、删除数据库内容,并以备份数据威胁受害者、索要赎金。 据挪威的安全研究员 Niall Merrigan 表示,MongoDB 数据库勒索事件从早上的 12000 起上升到现在的 27633 起,整个过程也就 12 小时左右。 事件进展: 目前,研究人员 Merrigan 发现已经有 15 个不同的黑客组织参与到了这次勒索行动。此次勒索事件最初由 GDI Foundation 的安全研究人员 Victor Gevers 在 2016 年 12 月 27 日发现。黑客劫持数据库后下载所有数据并将其替换为勒索信息。此后事态影响扩大,陆续有黑客组织加入到劫持控制中,赎金也从一开始的 0.2 比特币赎金上升到现在的 1 比特(约 6000 人民币)。值得注意的是,即使缴纳赎金可能也无济于事,你无法确定黑客是否拷贝了所有数据。 原因分析: 事件起因是 MongoDB 数据库真实 IP 暴露于外部网络,并且无需身份验证就能登录数据库。MongoDB 数据库默认端口为 27017。对于在互联网 “裸奔” 的 MongoDB 数据库,只需命令行使用‘ mongo [ ip ] :27017 ’命令就能远程 shell 登录数据库。 上图( 1 )是国外研究者在 1 月 5 日使用 ZoomEye 相关搜索的结果。 上图( 2 )ZoomEye 最新搜索结果显示:暴露在网络中的 MongoDB 数据库服务器约有 125,434 台,数量不降反增。而且端口 28017 的数量也不少。据 2015 年 7 月底探测结果显示全球至少 400 TB 以上数据受此影响,ZoomEye 官方也已通过各种方式进行预警。 结论: 从此次事件中我们能够看出,大部分用户对于数据库的安全配置并不了解,或者说用户安全意识薄弱,认为数据库处于防火墙和数据中心的保护中就足够安全了。但是事实是数之不清的 MongoDB 数据库毫无防护的暴露在互联网中很久很久了,只不过是黑客的攻击才使得人们意识到了这一危害。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。