50万印度德里居民的个人数据暴露在公网上

近期，一名安全研究员发现了一台暴露在公网的不安全MongoDB服务器，泄露了近50万印度公民的详细个人信息。由于这个数据库没有设置认证密码，任何互联网用户都可以访问它。

在Hacker News发布的一篇文章中，Bob Diachenko透露，他最近在网上发现了一个4.1GB大小的含有高度敏感数据的数据库，名字为“GNCTD”，其中包含了德里458388个居民的个人信息，包括他们的身份证号码和选民ID号。

尽管还不清楚该数据库是否与德里政府有联系，但Diachenko发现，数据库中含有电子邮件为“transerve.com”的“高级主管”和“超级管理员”字样的用户信息。

根据Transerve Technologies网站上提供的信息，Transerve是一家基于GoA的公司，专门提供智能城市解决方案和先进的数据收集技术。该公司的数据收集器、精确地图和定位工具可提供大量的定位数据帮助企业和政府进行决策制定。

此次泄漏的数据库包含以下表：

通过Diachenko分析，其中一个包含注册用户的表中有电子邮件地址、密码哈希以及系统用户名等。

“在Indi viduals表中包含了最详细的信息，基本上是一个人的完整肖像，甚至包括健康状况、教育等。”

“Households表中包含‘姓名’、‘门牌号’、‘楼层号’、‘地理位置’、‘区域详情’、‘主管的电子邮件’、‘是否配合调查’字段、‘厕所类型’、‘功能水表’、‘卡号’、‘互联网设施是否可用’以及‘信息名’等字段。”

Diachenko表示：“目前还不清楚数据库的暴露时间以及是否有人访问过它。”

在无法联系到Transerve后，Diachenko联系了Indian Cert，后者进一步与该公司协调，立即将其数据库下线。

“在公网暴露一个没有密码的MongoDB数据库是很危险的。我们之前曾报道过，由于缺乏身份验证，数千台MongoDB服务器被安装了勒索软件。除此之外，犯罪分子还可以随意就可以更改数据库中的数据。”

近年来，暴露在公网的存在未授权访问的数据库已经泄露了数十亿条记录。

在2.6.0版本之前的MongoDB，默认配置会使数据库在一个默认的端口上开放服务。从安全的角度上来说，管理员应该适当修改对外开放的端口，但很不幸的是，许多管理员都没有这样做。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://thehackernews.com/2019/02/mongodb-delhi-databa se-leaked.html