作者
琥珀
出品
AI科技大本营(ID:rgznai)
“专窥大众底裤的公司忘记穿裤就裸奔了……”
不得不说,对于这种运维不够,吃瓜群众来凑的热闹,往往能惹来不少相关从业者的愤慨。
事件经过
就在刚刚过去的一天里,追踪MongoDB数据库多年的荷兰著名安全研究员VictorGvrs又发现了新的“裸奔”用户数据,这次他将矛头指向了一家中国安防视觉领域的企业——SnsNts(深圳深网视界科技有限公司,下称“深网视界”)。
Gvrs连发数条推文指出,该公司其中一个MongoDB人脸识别数据库在没有安全认证的情况下直接在公网“裸奔”,可供任何人查找,并允许完全访问,这意味着恶意行为者可以随意添加或删除数据库中的记录。换言之,任何人都可以查看这些记录并跟踪一人的行为。
据悉,被暴露的数据库包含有2,,名用户的信息,以及仍在飞速增长的GPS位置记录。
“这些用户数据不仅包括用户名,还有非常详细且高度敏感的信息,如姓名、身份证号码、身份证签发日期、性别、国籍、家庭住址、出生日期、照片、工作单位等内容。”
此外,该数据还包含一系列“监控器”以及与之相关的GPS位置记录,每个摄像头都有一个单独的名称和一个与某个位置相关的IP地址。“根据该公司的网站,这些监控器似乎是公共摄像机的位置,通过该摄像机进行视频拍摄和分析。”
如“酒店”、“警察”、“网吧”、“餐馆”等,都是对“监控器”等相关GPS位置的描述。在过去的24小时内,已经有万GPS位置数据被记录下来。
图注:暴露的数据库中发现的一处GPS坐标位置
他表示,现在数据库已通过防火墙“受到保护”。虽然他仍怀疑中国外的流量访问得到了阻止,但至少海外(服务器)是无法再访问到这些数据了。
目前,Gvrs已通过GDIFoundation向该公司对自7月开始开放的数据库提出警告。
外媒CNET、ZDNt相继报道了该起事件,并引起了国内网友们的强烈