数据库的所有权：未知数据库无法访问，但其他人可以访问它

一个庞大的客户数据库，包含1,100万条包含个人详细信息的记录，周一在网上被发现，没有受到保护。

这些数据可以从Grupo-SMS USA，LLC的托管基础​​设施上设置的MongoDB实例获得，任何能够找到它的路径的人都可以访问。

独立安全研究员Bob Diachenko通过使用公共工具扫描互联网来发现信息。他的研究显示该数据集最后由Shodan搜索引擎于9月13日编入索引，但目前还不清楚它在该日期之前可以访问多长时间。

该研究人员表示，该系列大小为43.5GB，包含10.999.535个电子邮件地址，所有这些都来自雅虎。它还包含姓名（第一个和最后一个），物理地址，邮政编码以及客户的州和居住城市。

仅此信息对于运营各种非法或阴暗企业的犯罪分子来说是一个福音：垃圾邮件发送者，诈骗者（技术支持，税务），僵尸网络牧民或任何类型的恶意软件贩子（勒索软件，密码，间谍软件，信息窃取者，银行业务）。

数据库的所有权：未知

来自Diachenko共享的数据库中的样本显示，一些记录可能来自SaverSpy网站的用户，该网站为各种产品提供可打印和数字折扣优惠券。SaverSpy是在大约一个月前，即8月13日创建的，它是联盟计划的一部分，该计划提供来自Coupons.com（一个Quotient Technology网站）的优惠券优惠。

另一个垃圾邮件运营商的数据集在外界，具有异乎寻常的高级别细节：1100万条记录。名称/姓氏/邮政编码/城市/州/地址。pic.twitter.com/rNR9SNZFCI - Bob Diachenko（@MayhemDayOne），2018年9月17日

我们向Quotient询问了数据库，该公司的一位代表告诉BleepingComputer，数据“并非源自Quotient Technology;我们最终没有违规”。

从SaverSpy和优惠券网站获取折扣券的步骤完全相同。不需要注册来获取货物，他们只需列出要约并让用户选择他们需要的东西。如果用户的计算机或移动电话连接到打印机，则会要求他们对可以访问的电话号码进行SMS验证。

另一种方法是将优惠券发送到用户选择的电子邮件地址，以便他们可以从他们想要的任何计算机上打印。

根据SaverSpy的隐私政策页面，该网站会在注册帐户时收集以下用户信息：姓名，地址，电话号码，电子邮件地址和其他人口统计信息。我们找不到帐户注册部分，但可以选择通过电子邮件订阅优惠。

在与BleepingComputer的对话中，Diachenko说他分析的样本没有电话号码或支付卡详细信息。他告诉我们，除了客户个人信息之外，该数据库还包括有关用户的电子邮件通信状态的一些详细信息，其中显示了电子邮件是否通过以及它所宣传的活动。

即使数据库的所有权仍然是个谜，信息在发布时也不再暴露。

数据库无法访问，但其他人可以访问它

在今天的博客文章中，研究人员写道，该数据库在Shodan被标记为“妥协”，并包含赎金票据，要求其所有者支付0.4 BTC。

由于信息完好无损，可以假设接管尝试是自动化过程的结果，并且脚本无法正常工作。这并不罕见。

Diachenko试图联系Quotient Technologies，了解潜在的数据泄露事件，但没有得到答案。