安全研究人员偶然发现了一个MongoDB数据库,其中包含超过25,000名投资、接收Bezop(一种加密货币)用户的个人信息。
网络安全公司Kromtech称,该数据库包含全名,家庭住址,电子邮件地址,加密密码,钱包信息以及扫描的护照,驾驶执照或身份证等信息。
这个数据库跟Bezop团队今年年初开展的奖励活动有关,当时用户只要在社交媒体上宣传这款货币,就能够获得Bezop代币。
Bezop发言人承认数据库来源于此,但是被曝光是因为公司在今年1月8日遭到了DDoS攻击,开发团队处理攻击时无意中放到了网上。
发言人表示,该数据库包含约6,500名ICO投资者的详细信息,其余的是参与奖励计划收到Bezop代币的用户。
3月30日,Kromtech的研究人员在谷歌云服务器上发现了这个MongoDB数据库,数据库一直被公开在网络上,并且没有身份验证,也就是说任何人都能看到其中的信息。
Kromtech研究员Bob Diachenko,用twitter通知Bezop团队后几小时,这个数据库就被撤下了。
Bezop团队表示,他们已经通知了用户,投资者的身份信息也没有存储在数据库中,并且现在采取认证机制防止日后再次发生风险。
区块链热引来的风险
这不是第一起Bezop遭遇的安全事件,今年早些时候,Steemit博客也指责该公司通过电子邮件以明文方式发送ICO注册密码。
Bezop是去年年底推出的一个新加密货币,使它声名大噪的是网络安全专家约翰迈克菲曾经将Bezop列入其“本周ICO”推荐中。Bezop之后承认给McAfee服了钱进行推销。该币种目前在CoinMarketCap网站上排名第728位,当前交易价格为每个Bezop 0.06美元。
而前不久,SMT智能合约也被爆出整型溢出漏洞,导致大量代币交易平台关闭交易渠道。
* 参考来源:BleepingComputer,本文作者Sphinx,转载注明来自FreeBuf
来源:freebuf.com 2018-04-28 07:30:39 by: Sphinx
请登录后发表评论
注册