关注！数据安全新动态（2024年1月·下篇）

3.2.1.音乐翻录软件因配置错误或造成280GB数据泄露

据外媒报道，音乐翻录软件TuneFab被曝出因数据库配置不当疑似可能导致280GB数据泄露。TuneFab在今年9月26日错误地配置了MongoDB数据库文件，从而使自家数据库处于“无密码”状态。据称，事件涉及的280GB数据包含用户个人数据，内含超过 1.51亿条用户IP、ID、邮箱地址等信息。

https://cybernews.com/news/spotify-music-converter-puts-users-at-risk/

3.2.2.MyEstatePoint应用MongoDB服务器泄露近50万用户信息

据媒体1月5日报道，一体化房地产应用MyEstatePoint Property Search的MongoDB服务器配置错误，用户的信息泄露。该应用在Google Play商店的下载量超过50万次，主要服务于印度市场。Cybernews于2023年11月6日发现了公开的MongoDB服务器，包含超过497000个用户的信息，涉及姓名、邮件地址和明文密码等。

来源：

https://cybernews.com/security/myestatepoint-property-search-app-data-leak/

3.2.3.Bit24.cash配置错误泄露近23万用户的护照等信息

媒体1月7日称，伊朗加密货币交易所Bit24.cash配置错误，泄露了大量用户的信息。研究人员发现了一个配置错误的MinIO实例，允许访问包含该平台KYC数据的S3存储桶。这种错误配置影响了约230000名伊朗公民，泄露了他们的护照、身份证和信用卡等信息。研究人员表示，由于涉及KYC验证数据，可能构成严重威胁，例如身份盗用、欺诈交易和网络钓鱼攻击等。

https://coinjournal.net/news/bit24-cash-faces-backlash-after-reports-of-kyc-data-breach/

3.2.4.巴西某公开的Elasticsearch实例包含2.23亿条公民信息

据媒体1月11日报道，这次数据泄露暴露了超过 2.23 亿条信息，表明巴西全体人口可能都受到了影响。数据包含全名、出生日期、性别和公积金号码（Cadastro de Pessoas Físicas，CPF）（巴西的 11 位纳税人识别号码）等信息。

https://cybernews.com/security/brazil-data-leak-cpf-card/

3.2.5.研究团队发现超级数据泄露合集，达12TB涵盖260亿条数据

1月22日，这次超大规模泄露包含来自之前多次泄露的数据，其中包含令人震惊的 12 TB 信息，涵盖令人难以置信的 260 亿条数据。这次超大规模泄露包含来自之前多次泄露的数据，其中包含令人震惊的 12 TB 信息，涵盖令人难以置信的 260 亿条数据。几乎可以肯定，这次泄漏是迄今为止发现的最大的一次数据泄露。据称有数亿条数据来自微博 (504M)、MySpace (360M)、Twitter (281M)、Deezer (258M)、Linkedin (251M)、AdultFriendFinder (220M)、Adobe (153M)、Canva (143M) 、VK (101M)、Daily Motion (86M)、Dropbox (69M)、Telegram (41M) 以及许多其他公司和组织。此次泄露还包括美国、巴西、德国、菲律宾、土耳其和其他国家各个政府组织的记录。

3.2.6.BuyGoods配置错误泄露198GB内部数据和用户信息

1月24日，网络安全研究员 Jeremiah Fowler 最近发现了一个配置错误的云数据库，导致大量敏感数据暴露。受影响的数据库包含归属于全球零售商BuyGoods.com。暴露的数据库大小总计 198.3 GB，缺乏任何形式的安全认证，可供公众公开访问。这个未受保护的数据库中有超过 260,000 条记录，包括有关联营公司付款、退款交易、发票、会计记录和各种其他形式的数据的详细信息。暴露的服务器还暴露了客户和附属公司的个人记录，包括客户的自拍照以及他们的个人身份证、执照、护照，甚至未经编辑的信用卡详细信息。

来源：

https://www.hackread.com/online-retailer-buygoods-com-pii-kyc-data-leak/