Xakep #305. Многошаговые SQL-инъекции
Известный ИБ-специалист Боб Дьяченко (Bob Diachenko), главный исследователь киберугроз в компании Hacken, обнаружил незащищенную установку MongoDB, содержащую данные 66 147 856 уникальных пользователей LinkedIn.
В базе содержались имена, личные или рабочие email-адреса, номера телефонов, данные о местах работы пользователя, а также о его рабочих навыках. Ко всему это была приложена ссылка на сам профиль человека в LinkedIn. Исследователь пишет, что, судя по отсутствию таких личных деталей, как номера банковских карт и паролей, базу собирали из публично доступных профилей.
Дьяченко пишет, что впервые заметил данную установку MongoDB еще в октябре 2018 года, и тогда она содержала данные 49 млн человек. Кроме того, тогда специалист нашел и две других базы. Одна принадлежала флоридской рекрутинговой компании и содержала информацию о 22 млн человек. Еще одна база насчитывала 48 млн записей и тоже содержала рабочую информацию пользователей. Исследователь отмечает, что все эти установки MongoDB содержали пересекающиеся друг с другом данные, и все они появились в сети в октябре-ноябре текущего года.
К сожалению, исследователь не смог установить, кому принадлежит база с информацией о профилях LinkedIn, и в настоящее время она исчезла из сети (хотя никто не гарантирует, что она не «всплывет» снова через какое-то время). Специалист передал все собранные данные операторам ресурса HaveIBeenPwned, с помощью которого пользователи могут проверить свои данные на предмет утечек. Дьяченко подчеркивает, что даже такие публично доступные данные могут быть использованы во вред их владельцам и призывает всех помнить о том, что в сети стоит делиться лишь необходимым минимумом информации о себе.