近期，有安全研究人员发现了一个在伊朗运营的专车服务公司的数据库，疑似泄露大量伊朗司机的敏感信息，总泄漏量超过670万条记录。

安全研究员Bob Diachenko发现了这一情况，这主要是因为该数据库存在未授权访问，导致任何人都可浏览操作这些敏感数据。

这个名为doroshke-invoice-production的MongoDB实例包含了670多万伊朗司机记录。

暴露的记录中包括驾驶员的名字和姓氏，SSN（10位伊朗身份证号码），电话号码和发票日期。

该安全专家通过使用BinaryEdge搜索引擎发现了这个数据库，该搜索引擎会时刻探测暴露在互联网上一切数据。

在Bob Diachenko的一条博客中这样写道，“4月18日，在我们对nonSql的定期安全审计期间，通过BinaryEdge搜索引擎发现了这个公开的，可访问的MongoDB实例，其中包含了关于伊朗司机的大量敏感信息” 。

该数据库主要包括两个数据集，按发票年份分为：

• invoice95（所有1395年的发票，相当于公历中的2017年），总数量：740,952

• invoice96（所有1396年的发票，相当于公历中的2018年），总数量：6,031,317

值得注意的是，这个MongoDB数据库中包含大量的重复记录，研究人员估计，单独的记录数应该在一百到两百万之间。

在撰写本文时，数据库的所有者仍然未知，但幸运的是，它已经被保护了起来。

Diachenko向伊朗CERT报告了它的发现，并试图提醒伊朗的安全研究人员去寻找数据库的所有者。

“我们已和几个司机联系上，试图找出数据库的所有者。与此同时，我的同事们已经联系了伊朗最大的专车公司来确认数据源。”

“虽然我没有收到任何一家公司的官方确认，只能猜测这些数据是否属于某些公司。但是，无论是谁拥有它，这种高度敏感的数据在公网开放访问三天以上是非常可怕的。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2504.html

来源：https://securityaffairs.co/wordpress/84300/data-breach/ride-hailing-company-data-leak.html