【资讯】MongoDB 数据库泄露 1100 万份邮件记录；臭名昭著的 Pegasus 间谍软件已经渗透到 45 个国家和地区

9 月 17 日，安全研究员 Bob Diachenko发现了一个可公开访问的 MongoDB 数据库，其中包含 43.5 GB 的数据和 10999535（将近 1100 万）份 Yahoo 电子邮件地址。 数据库中可见的每条记录都包含电子邮件地址、全名、性别、城市、邮政编码以及实际地址等敏感个人数据。

除了电子邮件地址之外， 数据库中还有关于邮件 服务器 在联系时发送状态的信息，详细说明邮件是否已发送或服务器是否拒绝了电子邮件。随后，该数据库在Shodan 上被标记为“遭遇入侵”，且出现了被勒索的信息，勒索者要求 0.4 BTC 的赎金。目前，该数据库已经下线。

Citizen Lab 的研究人员发现，近两年来全球最危险的安卓与 iPhone 间谍软件 Pegasus 已经渗透到 45 个国家与地区。这个软件由专门售卖高科技监控工具的以色列黑客组织 NSO 开发，可以远程入侵全球情报机构的苹果手机和安卓设备。利用这个软件，攻击者可以在攻击目标不知情的情况下获取大量数据，包括短信、日历条目、邮件、WhatsApp 信息、用户位置、麦克风、摄像头等权限和内容。

安全研究员称，专门为美国政府机构提供在线支付服务的网站 GovPayNow.com 出现数据泄露情况，其系统凭证存在漏洞，导致任意人即可访问收据数据，其中包括法院下达的罚款、保释金以及交通罚款等等。根据最新信息，自2012年以来大概有1400万条包含收据信息的记录被泄露。

在演示中，研究人员简单修改收据 URL 中的 ID 数字就能轻松访问 GovPayNet 支付系统中的任意凭证，包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。目前，GovPayNet 已经收到问题警报并表示已经解决。

据澎湃新闻消息，2018年网络安全技术高峰论坛上，中国人民银行金融信息中心副主任唐彬表示，央行将进一步探索构建行业共享的金融网络安全防护平台，并着力保护关键信息基础设施。央行还将更多地推动建设行业协同和信息共享，形成合力，“比如网络安全的信息共享平台，包括一些行业共享的公共的防护平台，可以此推动网络安全漏洞、技术产品缺陷、安全威胁态势的共享。

以上内容均来源于网络