forum.opennet.ru

"Утечка 800 млн email через СУБД MongoDB сервиса подтверждени..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Утечка 800 млн email через СУБД MongoDB сервиса подтверждени..."	+/–
Сообщение от opennews (?), 08-Мрт-19, 10:02
Исследователь безопасности Боб Дьяченко (Bob Diachenko) обнаружил (https://securitydiscovery.com/800-million-emails-leaked-onli.../) наличие неограниченного доступа к БД, включающей сведения о 800 млн email-адресов (размер загруженных данных - 150 ГБ). Помимо email более 4 млн записей также содержали номер телефона и такие сведения, как область деятельности, адрес, ФИО, пол, IP-адрес и время последней активности. Выборочная проверка показала, что это новая отдельно собранная база, а не просто компоновка информации на основе других утечек адресов. Утечка вызвана ошибкой при настройке СУБД MongoDB, в результате которой доступ к БД не был ограничен и данные были выставлены для всего интернета без аутентификации. Данные были собраны компанией Verifications.io, предоставляющей для предприятий сервис по подтверждению email-адресов перед отправкой массовых рассылок. Примечательно, что это не первая подобная находка Боба Дьяченко, прошлой осенью он выявил (https://www.opennet.ru/opennews/art.shtml?num=49259) похожую базу MongoDB, включающую 450 млн адресов. URL: https://securitydiscovery.com/800-million-emails-leaked-onli.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=50277
Ответить \| Правка \| Cообщить модератору

Оглавление

Утечка 800 млн email через СУБД MongoDB сервиса подтверждени..., opennews, 08-Мрт-19, 10:02 [смотреть все]

В MySQL Mariadb открыть такой доступ геморой, а в MongoDB видимо закрыть такой, asdasd, 08-Мрт-19, 10:02 (1) //
- Веб-мартышки, сэр , Аноним, 08-Мрт-19, 10:21 (2) //
  - Плевать на то что база жопой в интернет торчит, за то у нас куберннтис и микросе, Аноним, 08-Мрт-19, 10:27 (4) //
    - Докерки, кубернетисы и прочие графаны - уже давно синоним голого зада, торчащего, Аноним, 08-Мрт-19, 17:06 (19)
      - А графану-то за что , asand3r, 08-Мрт-19, 17:57 (20)
        
        он перечислил технологии за незнание которых его развернули на прошлом собеседов, annual slayer, 08-Мрт-19, 19:48 (22)
        А всё за тоже brainlessware, Онаним, 08-Мрт-19, 20:10 (25)
        
        А конкретика есть А то я как раз думал рассмотреть эту графану , Q2W, 09-Мрт-19, 09:48 (37)
        
        Так рассматривай, чего ты слушаешь всяких И зперечимсленного я щкпал только док, Аноним, 09-Мрт-19, 13:44 (43)
        сцк, вечно я вместе с й tab нажимаю документации, а не статеек типа как за т, Аноним, 09-Мрт-19, 13:47 (44)
        Графана это вообще не про хранение данных, а их визуализацию Докер - отличная н, Аноним, 09-Мрт-19, 16:07 (45)
        ну, короче, добрый совет - рассматривай ее в виде виртуалки благо, ресурсов нуж, пох, 09-Мрт-19, 22:22 (52)
        
        Вот, дельный пост , Онаним, 10-Мрт-19, 10:14 (54)
        конкретней можно о чем вы мыслю свою излагаете больше похоже на понос, ворапдфр, 11-Мрт-19, 03:54 (74)
        А если смотреть глубже то в веб все переносят На луркморе были правы Планшеты-те, Последний из могикан., 05-Мрт-21, 14:44 (91)
    - Ненавидимый вами кубернетес как раз-таки требует явной конфигурации сервиса, кот, Anonim, 08-Мрт-19, 21:13 (27)
      - Видимо комментарий был о том, что акцент делается не на архитектуру, при которой, Аноним, 09-Мрт-19, 00:06 (33)
        
        Тему раскрой Просто в кубернетесе по умолчанию ничего не доступно снаружи Ну, , Лапчатый девляпс бубунтёнак, 09-Мрт-19, 10:47 (40)
        
        Очевидно что вэб-мартишки думают, что кубернетис сделает все за них Отсюда дефо, замзибор, 10-Мрт-19, 06:26 (53)
        Раскрываю взяли докерок, взяли кубернетю, взяли либо со стора либо вообще с как, Онаним, 10-Мрт-19, 10:16 (55)
        
        Просто бессмысленный вой Ну понятно С таким же подходом можно доверять только с, Лапчатый девляпс бубунтёнак, 11-Мрт-19, 11:09 (75)
  - Проблема в том, что это были С-гуру , Аноним, 08-Мрт-19, 10:30 (5) //
    - из личного опыта видел бы баш скрипты или конфиги, написанные С-гуру вместо хотя, annual slayer, 08-Мрт-19, 19:50 (23)
      - Видел как ужасные так и вполне нормальные, от знание СИ корреляции не заметил, н, Аноним, 08-Мрт-19, 23:54 (32)
        
        зато есть корреляция качества скриптов к тому, является их писатель админом или , annual slayer, 11-Мрт-19, 14:12 (79)
- ну в целом так и есть - с поправкой что если бы ты манд монгу использовал так , пох, 08-Мрт-19, 10:27 (3) //
  - На себя посмотрел бы, де билл Они придумали всё это , а тебе выдали вантуз , Лапчатый девляпс бубунтёнак, 09-Мрт-19, 10:39 (38) //
    - В чём проблема хранить и даже успешно ворочать несколько терабайт в мускуле Зна, Онаним, 10-Мрт-19, 10:18 (57)
      - в том, что это делают только идиоты , arisu, 10-Мрт-19, 10:44 (60)
    - это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, ра, пох, 10-Мрт-19, 11:04 (61)
      - Смысл сего воя - раньше трава была зеленее, они не такие как мы, и потому - вино, Лапчатый девляпс бубунтёнак, 11-Мрт-19, 11:11 (76)
      - Вы админку Амазона хоть раз видели По умолчанию в ней доступ ко всем сервисам з, Анонимус2, 13-Мрт-19, 22:08 (89)
  - Это да Уже лет 10 как понятно, что сервисный софт с низким порогом вхождения по, Онаним, 10-Мрт-19, 10:17 (56)
  - Знаешь пох, я таки понял почему ты пишешь во всех подряд новостях - это потому , Аноним, 12-Мрт-19, 14:18 (84) //
    - 171 Здесь так принято 187 На третий день Зоркий Глаз заметил, что у сарая н, анонн, 12-Мрт-19, 16:49 (85)
    - у нее есть мануал Ну посмешили У нее есть невразумительная гуановика с неочев, пох, 12-Мрт-19, 17:13 (86)
- А iptables уже отменили , microcoder, 08-Мрт-19, 15:55 (18) //
  - Так это думать надо, готовый тяпляпбук не скачаешь , Аноним, 08-Мрт-19, 22:08 (29) //
    - Шо Не верю Сам же пишу тяпляпбуки в большом количестве Может ты это, ртфм сде, Лапчатый девляпс бубунтёнак, 09-Мрт-19, 10:43 (39)
  - так уже ж полгода как - правда, пока объявили deprecated еще учти что у тру-девл, пох, 09-Мрт-19, 18:49 (46) //
    - И без докера ты это не умеешь Молодец , Лапчатый девляпс бубунтёнак, 11-Мрт-19, 19:51 (80)
  - Вы будете смеяться, но он уже не молодежно , КО, 10-Мрт-19, 19:33 (65) //
    - Наверное я отстал от жизни Что сегодня модно вместо iptables , microcoder, 10-Мрт-19, 20:50 (72)
      - вместо - nft Но nft приличные люди давно уже не носют, нам нужно больше трэша и, пох, 10-Мрт-19, 22:10 (73)
- О, ещё один, выставляющий базы наружу У нас такое в впн заворачивают, вообще-то, Лапчатый девляпс бубунтёнак, 09-Мрт-19, 10:50 (41) //
  - на каждом амазонском инстансе у тебя по vpn у И как там монга - не тормозит P S, пох, 09-Мрт-19, 18:54 (47) //
    - Я там где-то выше писал о том, что внутреннее - внутри, а наружнее - снаружи Во, Лапчатый девляпс бубунтёнак, 11-Мрт-19, 11:12 (77)
      - а, ну тогда просто подожди - придет тимлид разработчиков и прикажет немедля пере, пох, 11-Мрт-19, 11:29 (78)
        
        Ты просто не на месте, вот и истекаешь жёлчью Бросай эти линуксы, иди на мсдн и, Лапчатый девляпс бубунтёнак, 11-Мрт-19, 20:03 (81)
        
        я-то как раз на своем месте, оно к девляпсам с гентами и лепке костылей на squas, пох, 12-Мрт-19, 13:20 (82)
- Судя по всему - это облако У нормальных людей БД наружу не торчит, только API , SubGun, 09-Мрт-19, 11:56 (42) //
  - Ну вот у них API самой монги и торчало, муахаха Видимо, решили, что DB API - то, Онаним, 10-Мрт-19, 10:21 (58) //
    - mongo as a service, чо не так-то - , пох, 10-Мрт-19, 11:06 (62)
- И когда особо одарённая вендурь научится поставлять своё поделие сконфигурирован, Michael Shigorin, 10-Мрт-19, 15:12 (63) //
  - Михаил, но ведь за это объявят админом локалхоста , КО, 10-Мрт-19, 19:36 (66) //
    - Придётся объяснить, какое значение изначально вложил в этот термин о примени, Michael Shigorin, 10-Мрт-19, 20:09 (67)
      - с инстансами в этом разе, очевидно, все было, потому что 150g ценных для перепро, пох, 10-Мрт-19, 20:17 (69)
  - Миша, оно так не работаит - в смысле, ее не для того ставят, чтобы она локалхвос, пох, 10-Мрт-19, 20:14 (68) //
    - Я про изкоробку, ну и 61 затем прочитал -- сочувствую , Michael Shigorin, 10-Мрт-19, 20:21 (71)
- Ононим такой ононим Если не знаешь как настраивается доступ в Монге - не открыв, Аноним, 12-Мрт-19, 14:07 (83) //
  - молодец, заявление по собственному желанию сам напишешь, или на тебя компании по, пох, 12-Мрт-19, 17:28 (87)
Без этой базы мне эта новость нафиг не нужна, Аноним, 08-Мрт-19, 10:34 (6) //
- Сколько лет будешь выкачивать , Аноним, 08-Мрт-19, 10:49 (7) //
  - Если провайдер позволит то 0,000237823439878 лет, Аноним, 08-Мрт-19, 12:20 (12) //
    - 150 Гб за 2 часа жырненькый у вас интернетик , У, 08-Мрт-19, 21:22 (28)
      - ЫыПри 1Gbps - 850gb за 2 часа через канал пролетает Taк шо можем считать что , DiabloPC, 08-Мрт-19, 22:39 (31)
        
        Ну хз плачу 200р за месяц через канал пролазит 5тб но шибко что то не качаю, так, Аноним, 09-Мрт-19, 00:44 (34)
        
        То ли нолик забыл, то ли виртуалку арендуете где эти 150 гб и не разместить, то , Аноним, 09-Мрт-19, 05:52 (35)
      - Так чтоб это, 150 гиг за два часа, всего примерно 200 Mbps и надо-то Это разве , Онаним, 10-Мрт-19, 10:22 (59)
- если я правильно понял, чувак просто нашёл, написал владедьцу и те закрыли даже, Нанобот, 09-Мрт-19, 09:42 (36) //
  - эх я бы вот в такое зашел - не поленился бы заплатить 5, и стереть всю базу , пох, 09-Мрт-19, 18:56 (48)
- Тоже об этом подумал , EgorData, 15-Мрт-19, 04:17 (90)
Ну что сказать, надо технически грамотных специалистов нанимать и тех долг закры, Вадик, 08-Мрт-19, 11:20 (8) //
- а если бы пароль прставить на все СУБЛ или требование -- обязательно всё нужно д, Xasd5, 08-Мрт-19, 11:47 (10) //
  - Какой пароль, вы о чём кубернетесом докерок пнули, и забыли, Онаним, 08-Мрт-19, 20:11 (26)
  - а вот ты нам сейчас и расскажешь, как в монге 2 4 это делается Инстансах так на, пох, 09-Мрт-19, 19:02 (49) //
    - http www opennet ru openforum vsluhforumID3 116773 html 83 - во, первый пришел, пох, 12-Мрт-19, 17:31 (88)
- Проблема в том, что монетизацию поставили на первое место , Аноним, 08-Мрт-19, 14:25 (15)
- вот примерно такой хипстор как ты там и занимался безопасностью , arisu, 08-Мрт-19, 22:38 (30) //
  - такой там ниасилил, иначе бы оно, наверное, все же бы сработало, даже если vpn , пох, 09-Мрт-19, 19:06 (50)
Магнит на дамп есть у кого Друг спрашивает , Аноним, 08-Мрт-19, 12:03 (11) //
- До друга не дошла судьба того чувырлы из центра американского английского , Michael Shigorin, 10-Мрт-19, 15:22 (64) //
  - так пристрелили ж директора, а админ, поди, вон, новую работу нашел, с солидным , пох, 10-Мрт-19, 20:18 (70)
Зачем сервису для подтверждения email-ов их хранить Или они деньги с продажи на, Аноним, 08-Мрт-19, 14:23 (14) //
- Ну а зачем еще нужна такая база - только торговать ПДн , Аноним, 08-Мрт-19, 14:26 (16)
Here is the scenario 8220 Mr Threat Actor 8221 has a list of 1000 companies, Аноним, 08-Мрт-19, 14:39 (17) //
- и так скомненько опустили часть между hi и Then , annual slayer, 08-Мрт-19, 20:00 (24)
То-то нам спам последний месяц посыпался , Аноним, 09-Мрт-19, 21:47 (51)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру