信息來(lái)源：hackernews

Security Discovery 安全研究人員 Bob Diachenko，剛剛披露了一個(gè)可被公開(kāi)訪問(wèn)的 MongoDB 數(shù)據(jù)庫(kù)，其中包含了超過(guò) 8.08 億個(gè)電子郵件地址、以及其它純文本記錄。數(shù)據(jù)庫(kù)大小為 150GB，剩余的是涉及個(gè)人信息的數(shù)據(jù)緩存。該漏洞與 Verifications.io 的電子郵件驗(yàn)證服務(wù)相關(guān)，但于 2 月 25 日被曝光到互聯(lián)網(wǎng)上，且允許被公眾訪問(wèn)。

Bob Diachenko 在一篇帖子中寫(xiě)到：“經(jīng)過(guò)核實(shí)，我對(duì)網(wǎng)上曝光的這批數(shù)據(jù)體量感到震驚”。

泄露信息包含了 7.98 億的電子郵件記錄、超過(guò) 400 萬(wàn)備注了電話號(hào)碼的 E-mail 地址、以及超過(guò) 600 萬(wàn)條被識(shí)別為‘商業(yè)線索’的信息。

這總計(jì)超過(guò) 8.08 億條的記錄，最終可追溯到一個(gè)名為 Verifications.io 的上。

這些記錄中的信息，包括了電子郵件、用戶 IP 地址、出生日期、郵政編碼、地址、性別、電話號(hào)碼等內(nèi)容。安全專(zhuān)家稱(chēng)之為‘一組完全獨(dú)特的數(shù)據(jù)’。

在向 Verifications.io 傳達(dá)了安全報(bào)告之后，現(xiàn)網(wǎng)站已處于脫機(jī)狀態(tài)。

由屏幕截圖可知，該公司主要面向企業(yè)提供“電子郵件驗(yàn)證”服務(wù) —— 顯然涉及讓客戶上傳電子郵件地址列表以進(jìn)行驗(yàn)證的操作。

該公司一名員工在郵件中回應(yīng)稱(chēng)，其已對(duì)做好了保護(hù)：

經(jīng)過(guò)仔細(xì)檢查，我們發(fā)現(xiàn)用于附加信息的數(shù)據(jù)庫(kù)似乎出現(xiàn)了短暫的暴露。這基于我們所使用的公共信息，而非客戶構(gòu)建的企業(yè)數(shù)據(jù)庫(kù)。

然而 Bob Diachenko 對(duì)這一說(shuō)法表示懷疑，其在帖子中寫(xiě)到：

既然數(shù)據(jù)是公開(kāi)的，那為何關(guān)閉了數(shù)據(jù)庫(kù)、又讓網(wǎng)站處于脫機(jī)狀態(tài)呢？除了電子郵件的配置文件外，數(shù)據(jù)庫(kù)中還包含了某些列表用戶的詳細(xì)信息（130 條記錄）。

比如訪問(wèn) FTP 服務(wù)器用的上傳 / 下載郵件列表的名稱(chēng)和登陸憑證（與 MongoDB 托管在同一個(gè) IP 上）。我們只能推測(cè)，這些其實(shí)并非公共數(shù)據(jù)。