一个不安全的数据库暴露了来自美国的800万人的个人信息，他们参与了在线调查，抽奖和免费产品样本的请求。这类网站为用户提供优惠信息，但是用户需要提供个人信息才能获得。安全研究院就发现了一个没有安全防护的Elasticsearch数据库，该数据库公开了向这些类型的网站提交条目的800万人的个人信息。

在审查由Jain提供给BleepingComputer的记录样本时，显示记录包含个人信息，例如他们的全名，地址，电子邮件地址，电话号码，出生日期，性别和IP地址。下面是一个编辑记录的例子。

示例编辑记录

每个记录中还包括提交者或页面，其中提交的信息来自。这些页面用于在线抽奖，免费样品请求和调查，如下所示。

查找数据库所有者

当发现不安全的数据库时，大多数研究人员所做的第一件事就是尝试确定谁拥有它。不幸的是，这样做并不容易。

在这个特殊情况下，Jain发现许多记录都有一个包含“userenroll.com”域的字段。访问此页面时，它显示它属于名为PathEvolution的在线营销公司。

起初很难与业主取得联系，因此Jain联系了托管数据库的亚马逊，提醒他们这是不安全的，并协助联系公司并确保其安全。

最终，我通过发现PathEvolution归一家名为Ifficient的母公司所有，追踪数据库的所有者，该公司将自己描述为“基于业绩的营销”公司。

负责人积极响应

当研究人员找到暴露的数据库时，在许多情况下他们从未收到回复，或者如果他们这样做，这些公司通常都不会感激。另一方面，Ifficient告诉我们，他们欣赏试图保护互联网上的数据的独立研究人员的工作。

“我们非常感谢有关我们数据安全的任何信息，包括此处共享的信息。我们非常重视我们拥有的所有信息的隐私和安全。我们对此事的调查以及通知可能受影响的个人的努力（如果任何），在收到这些信息后立即进行并且正在进行中。谢谢。“

Jain告诉BleepingComputer，在报告这些数据库时提供帮助而不是接受法律威胁总是很好。

“我首先要感谢组织采取这么快的行动来保护数据库。我还想在看到这么多类型的案例后，组织培训他们的员工有一个良好的基本安全卫生，以便这些问题不会继续发生。

参考地址：https://www.bleepingcomputer.com/news/security/unsecured-survey-database-exposes-info-of-8-million-people/

原文链接：http://toutiao.secjia.com/article/page?topid=111524