Bob
Diachenko encontró una base de datos con más de 202 millones de usuarios chinos
expuesta en Internet y sin autenticación.
El
investigador de seguridad Bob Diachenko, ha encontrado recientemente una base
de datos accesible a través de Internet sin autenticación, accesible a
cualquiera que desease conectarse y obtener los datos.
La base de
datos era una base de datos MongoDB, uno de los sistemas de bases de datos
NoSQL más populares hoy en día. En ella había datos personales de más de 202
millones de usuarios chinos (202.730.434 concretamente), incluyendo correo
electrónico, fecha de nacimiento, número de teléfono, nombre completo,
experiencia laboral, etc. En total 854,8 gigabytes de datos.
Según
Diachenko, el log de la base de datos antes de que fuese retirada contenía al
menos una docena de direcciones IP diferentes que habían accedido a la
información.
El origen
de la base de datos se desconoce, pero Diachenko cree que podría pertenecer a
alguien que haya usado una herramienta llamada “data-import” para realizar
scraping a diferentes páginas web chinas de búsqueda de empleo. Esta creencia
se debe a que los datos encontrados tienen un formato muy similar al utilizado
por dicha herramienta.
Un nuevo
caso en el que una base de datos MongoDB se encuentra expuesta en Internet sin
protección debido a una mala configuración. Por desgracia este tipo de
problemas de seguridad suelen darse con demasiada frecuencia en estas bases de
datos, como ya hemos visto en otras ocasiones.
Más información:
Fuente:
Hispasec