I ricercatori di sicurezza a Kromtech recentemente sono imbattuto in un database MongoDB che conteneva i dati personali di oltre 25,000 gli utenti che hanno investito nel Bezop (SENZA) gettone. Il database conteneva un sacco di dati personali tra cui nome completo, indirizzi di casa, indirizzo di posta elettronica, password criptate, informazioni di Pagamenti, passaporti digitalizzati, patenti di guida e in altri casi - gli ID.
Più specificamente, il database comprendeva dati personali on 6,500 investitori ICO. Il resto dei dettagli apparteneva agli utenti che hanno partecipato al programma di bounty pubblico per il quale hanno ricevuto i token Bezop.
Di più sulla piattaforma Bezop
Il Libro bianco della piattaforma spiega che Bezop è un sistema di gestione degli ordini e-commerce peer-to-peer e l'elaborazione decentralizzata, un servizio di protezione acquirente-venditore autonoma, e un semplice valore aggiunto fiscale (I.V.A.) sistema di raccolta – tutti alimentati da contratti intelligenti e costruita su una rete decentralizzata blockchain.
Perché questo informazioni contenute nel database, in primo luogo? L'abbondanza di dati personali è stato necessario per un programma di taglie avviato dal team di Bezop. Il programma ha avuto luogo in precedenza a 2018 quando la piattaforma Bezop ha dato via i token per gli utenti che hanno promosso BEZ relativi ai propri account di social media.
MongoDB dati incidente ha confermato ufficialmente
Un rappresentante dell'azienda ha già ammesso a questa violazione dei dati, spiegando che il database MongoDB è stata negligenza esposto in linea nel bel mezzo di un attacco DDoS suoi sviluppatori avevano a che fare con. L'attacco DDoS ha avuto luogo nel gennaio 8, e dimostra quanto devastante questi attacchi sono per le imprese.
Per fortuna, fondi degli utenti sono stati compromessi durante questo periodo, e il database è già stato assicurato. Ciò nonostante, è ancora un episodio preoccupante come sistema di autenticazione che significa che chiunque si collega ad esso potrebbe accedere ai dati personali memorizzati di migliaia di utenti del database mancava.
Questo non è il primo incidente che ha coinvolto i database MongoGB. A gennaio 2017, i database MongoDB mal configurati sono diventati bersaglio di ransomware.
I server che eseguono MongoDB sono stati presi di mira nel mese di dicembre 2016, ma la scala dei tentativi maligni era piccola. La situazione rapidamente intensificato, perché molte delle basi di dati compromessi non era stato impostato per richiedere una password per l'accesso. Questa mancanza di autenticazione, ancora una volta ha fatto attacchi remoti facile da realizzare.