9月17日，安全研究员Bob Diachenko发现了一个可公开访问的MongoDB数据库，其中包含43.5 GB的数据和10.999.535的Yahoo电子邮件地址。除其他细节外，数据库中包含的每条记录都包括电子邮件地址，全名和性别，以及其他敏感的个人数据，如城市和邮政编码，以及实际地址。

更重要的是，除了电子邮件地址之外，数据库还有关于邮件服务器在联系时发送状态的信息，详细说明邮件是否已发送或服务器是否拒绝了该电子邮件。

尽管Diachenko没有找到任何支付卡数据或电话号码，但是对于诈骗者、网络钓鱼者和垃圾邮件发送者来说，1100万个泄露记录中的每一个的电子邮件地址和电子邮件状态字段都是无价之宝。

正如Diachenko所发现的那样，自从9月13日互联网设备搜索引擎将其编入索引时，该数据库处于在线状态，这些数据可以从Grupo-SMS USA，LLC的基础设施上设置的MongoDB数据库中获得，任何能够找到它的路径的人都可以访问。

其中包含“受损”标签和0.4 BTC赎金票据。由于信息完好无损，我们可以推测这是自动化过程的结果，并且脚本无法正常工作。 这并不罕见。

暴露的数据库没有提供关于谁拥有泄露数据的任何暗示，但Diachenko发现线索，数据库样本显示，一些记录可能来自SaverSpy网站的用户，该网站为各种产品提供可打印的数字折扣优惠券。 SaverSpy网站建于大约一个月前，即8月13日，处理来自Coupons.com（一个Quotient Technology网站）的优惠券。

研究人员向Quotient询问了数据库，却被告知：“这些数据并非源自Quotient Technology，我们没有泄露数据。”

从SaverSpy和CouPons获取折扣券的步骤完全相同。他们将货物列出，用户不需要注册来获取货物，只要选择他们需要的东西即可。 如果用户的计算机或移动电话连接到打印机，则会要求他们对可以访问的电话号码进行SMS验证。

另一种方法是将优惠券发送到用户提交的电子邮件地址，以便他们在其他地方打印。

根据SaverSpy的隐私政策页面，该网站会在注册帐户时收集以下用户信息：姓名，地址，电话号码，电子邮件地址和其他信息。 我们找不到帐户注册部分，但可以选择通过电子邮件订阅优惠。

Diachenko联系了SaverSpy和CouPons，但是均联系无果。即使数据库的所有权仍然是个谜，数据库信息随后也被下线关闭。

往期热门资讯：                                        

扫描二维码，获得更多新鲜资讯！