10月23日，Mongo數據庫曝出漏洞，通過這個漏洞，任何人都能對數據庫進行查看、編輯操作。

　　根據相關數據顯示，這些記錄似乎都來自印度的美國運通分公司。值得注意的是，在操作過程中并不需要使用任何特殊的程序，僅僅是通過Shodan一類的物聯網搜索引擎或BinaryEdge.io來進行查找就可以得到相應的信息。

　　根據BinaryEdge.io的搜索結果，該數據庫在10月20日首次被編入了索引，這意味著在數據庫被人發現之前，已經處于曝光狀態5天之久。

　　雖然大多數據都是加密的，但是仍然有一些包含了americanexpressindia.co.in域上的托管服務賬戶的可讀鏈接和詳細信息的數據集存在，其中的用戶姓名以及電話號碼等信息都是可查的。

　　在所有曝光數據中，最大的非加密數據集包含了689272條數據，其中包括了大部分美國運通在印度的客戶的信息。而全部的加密數據大約有2332115條，也基本將所有涉及的用戶信息泄漏了個底掉，姓名、地址、身份證號、PAN卡號等信息一應俱全。

　　經過研究人員的了解，得出了大概的結論。他們認為數據庫并不是由AmEx親自管理的，而是由負責SEO的分包商或者一些其他客戶來對其代為管理。至于得出這個理論的原因，是因為暴露的數據中還發現了很多條諸如“campaignID”、“prequalstatus”或“leadID”等字段。

　　研究人員表示，在發現了這些數據之后，立刻與美國運通取得了聯系并匯報了漏洞信息，對方也在第一時間將公開數據庫信息進行了保護。此外，對方也澄清MongoDB的數據庫是通過安全加密的，一般都不會有未經允許就可以訪問的數據庫內容。

　　在本次事件中，AmEx的快速反應、及時采取的相關措施可以說是非常到位，他們幾乎在接到通知的同時便下線了服務器并開始著手調查。

　　通過這件事，我們也可以知道，網絡安全不論在開發過程中的哪一個階段都是非常重要的部分，甚至可以說是互聯網必須品。正如這次事件一樣，人們永遠都不會知道平日里所仰仗的一些安全機制（比如防火墻），會在什么時候突然崩潰，將你的隱私公之于眾。數據泄露問題已是屢見不鮮，這次AmEx泄露的是一些個人信息，也許下一次就會是更關鍵的數據曝光。網絡安全仍然不可掉以輕心。

責任編輯：韓希宇