近50万德里公民的个人数据在网上曝光

在与《黑客新闻》分享的一份报告中，鲍勃·迪亚琴科透露，两天前他在网上发现了一个4.1GB大小的高度敏感数据库，名为GNCTD，“包含在458388人位于德里，包括他们的阿达尔数以及选民身份证号码。

虽然目前尚不清楚公开的数据库是否与德里国家首都地区政府（GNCTD）有关联，但迪亚琴科发现，该数据库包含引用和带有“transerve.com”域的电子邮件地址，供注册“高级主管”和“超级管理员”的用户使用。

根据网站上提供的信息Transerve技术公司它是一家总部位于果阿的公司，专门从事智能城市解决方案和先进的数据收集技术。

该公司的数据采集器、精确地图和位置智能工具帮助各个行业的企业和政府机构利用地理位置数据智能地做出明智的决策。

泄漏的数据库包含以下表格：

• 电子商务用户（14861项记录）
• 家庭（102863项记录）
• 个人（458388项记录）
• 注册用户（399条记录）
• 用户（2983条记录）

Diachenko分析，其中一个包含注册用户的数据库表包括电子邮件地址、哈希密码和管理员访问的用户名。

迪亚琴科说：“最详细的信息包含在‘个人’收藏中，基本上是一个人的相当详细的肖像，包括健康状况、教育等”。

“住户集合包含的字段包括‘姓名’、‘房屋号’、‘楼层号’、‘地理位置’、‘区域详细信息’、‘主管的电子邮件ID’、‘是否配合调查的住户’字段、‘厕所类型’、‘功能水表’、‘配给卡号’、‘互联网设施可用’甚至‘信息人姓名’字段”。

迪亚琴科说：“目前尚不清楚数据库在线的时间，以及是否有其他人访问过它”。

当Transerve没有对通过电子邮件发送的负责任的披露做出回应时，Diachenko联系了Indian CERT，后者进一步与该公司协调，立即将其暴露的数据库离线。

迪亚琴科说：“暴露MongoDB或类似NoSQL数据库的危险是一个巨大的风险。我们之前曾报告，由于缺乏身份验证，数千台MongoDB服务器上安装了恶意软件或勒索软件”。

“公共配置允许网络罪犯以完全的管理权限管理整个系统。一旦恶意软件就位，罪犯可以远程访问服务器资源，甚至启动代码执行，窃取或完全销毁服务器包含的任何保存数据”。

MongoDB是从eBay和Sourceforge到《纽约时报》和LinkedIn等各种规模的公司使用的最受欢迎的开源NoSQL数据库。

这不是第一次发现MongoDB实例暴露在互联网上。近年来，我们发布了几份报告，其中未受保护的数据库服务器已经暴露了数十亿条记录。

这些都不是MongoDB的错，因为管理员总是被建议遵循MongoDB维护人员提供的安全检查表。

在版本2.6.0之前的旧版本MongoDB上，默认配置使数据库在可公开访问的端口上侦听，管理员应该在该端口上对其进行适当的重新配置，以供在线使用，但不幸的是，许多人没有这样做。