MongoDB資料庫意外暴露超過200萬墨西哥公民的醫療健康數據

最近，一個MongoDB資料庫被發現可以通過互聯網公開訪問，其中包含了超過200萬（2,373,764）墨西哥公民的醫療健康數據。這些數據包括個人的全名、性別、出生日期、保險信息、殘疾狀況和家庭住址等信息。

這個資料庫是由安全研究員Bob Diachenko通過Shodan發現的，Shodan是一個搜索引擎，可以搜索所有聯網設備，而不僅限於Web伺服器。當被發現時，這個資料庫完全暴露在互聯網上，任何人都可以對其訪問和編輯，因為它沒有設置密碼。

暴露的健康記錄

在分析資料庫之後，Diachenko找到了包含Administrative賬戶電子郵件地址的欄位。這些電子郵件地址的域名為hovahealth.com和efimed.care，如下所示。

 Administrative賬戶

hovahealth.com顯然屬於HovaHealth，一家位於墨西哥的技術公司，服務於醫療保健行業（專註於兩個主要領域：遠程醫療和衛生部門的軟體開發）。至於efimed.care，目前尚不清楚它屬於誰，但很可能是一個隸屬政府管理的衛生服務機構。

Diachenko告訴BleepingComputer，他在發現資料庫的同一天聯繫了Hova Health。Hova Health回應說：「所有參與這個項目的人員都在審查到底發生了什麼，並檢查我們所有的基礎設施，以避免再次發生此類事件…… 」在接下來的3個小時里，這個資料庫得到了保護。

雖然從資料庫的條目來看，的確有人在管理它，但Diachenko告訴BleepingComputer，目前並沒有人站出來表明這個資料庫屬於自己。所以在這一點上，這些數據實際上到底屬於誰還是未知數。

BleepingComputer的Lawrence Abrams試圖聯繫HovaHealth和efimed.care域名的所有者，但後者無法與美國或墨西哥的任何一個網站聯繫起來。

在線暴露的MongoDB資料庫並不是什麼新鮮事。Diachenko表示，關注健康保健行業的人可不止他一個，這還包括勒索軟體以及其他類型惡意軟體的開發者。因此，各位資料庫管理員在保護資料庫時遵循最佳實踐非常重要。

「MongoDB的安全隱患問題至少從2013年3月開始被人們所知道，從那以後就開始被廣泛報道。」Diachenko在介紹關於這個在線暴露的資料庫的博文中寫道，「根據Shodan的說法，MongoDB公司早在5年前就已經在軟體更新中使用了安全的默認設置，並發布了安全指南。然而，現在不安全的資料庫仍然大量暴露在互聯網上，此類資料庫至少有54,000個。」

*本文作者：Hydralab，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！