2025 年 5 月 19 日,安全研究员 Bob Dyachenko 与 Cybernews 团队发现一个容量达 631 GB 的 MongoDB 数据库因未设置密码保护而完全暴露在公网上,导致超过 40 亿条中国用户记录泄露,成为迄今已知最大规模的中国个人数据泄露事件。
该数据库包含 16 个数据集,涵盖从社交通信到金融支付的全方位个人信息。其中最大的「wechatid_db」集合包含 8.05 亿条微信 ID 数据,「address_db」存储 7.8 亿条带地理标识的住址信息,「bank」集合则含有 6.3 亿条银行卡号、姓名、生日等金融数据。名为「三要素校验」的数据集收录 6.1 亿条身份证、手机号、用户名信息,「wechatinfo」集合的 5.77 亿条记录疑似包含微信元数据、通讯日志甚至聊天内容。
支付宝相关数据同样大量泄露,「zfbkt_db」集合包含 3 亿条支付宝卡片及 Token 信息。其余数据集还涵盖赌博、车辆登记、就业、养老保险等多领域信息,甚至包括标注为「tw_db」的台湾相关数据。
研究团队指出,如此海量且多样的数据类型表明这极可能是一个集中式聚合枢纽,用于为几乎任何中国公民建立详尽的行为、经济与社会画像。数据规模之大意味着威胁行为者可将其用于钓鱼诈骗、敲诈勒索、金融欺诈,甚至国家级情报收集与信息操控。
数据库在被发现后于 5 月 20 日迅速下线,但研究团队无法确认数据库所有者身份。
MongoDB 至今仍采用无密码的默认设置,导致大量监听公网的数据库处于「裸奔」状态,为此类大规模泄露事件埋下隐患。
本频提醒,读者务必注意 MongoDB 默认配置的安全隐患。非必要不暴露在公网,且必须做好鉴权设置。
(Cybernews)
